Chyba s pripojením cez RDP

Prejavujúca sa chybovou hláškou ohľadne servera brány vzdialenej pracovnej plochy, ktorý je dočasne nedostupný:

Riešením by mohlo byť pridanie registrového DWORD 32-bit kľúča RDGClientTransport na hodnotu 1 do cesty

Computer\HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client

RDP authentication error – CreedSSP encryption

Chyba sa prejavuje pri pripojení cez Remote desktop:

Jedným z riešení je na klientovi, z ktorého sa pripájame zmeniť cez politiku nasledujúcu hodnotu

gpedit.msc (alebo GPO)
Computer Configuration > Administrative Templates > System > Credentials Delegation > Encryption Oracle Remediation.

To nastavíme na Enabled - Vulnerable

Druhá možnosť je, na serveri vypnúť vynucovanie používania bezpečného pripojenia cez System properties:

Prepnutie OS na KMS

Prepnutie Microsoft produktov z jednorázových lincenčných Multiple Activation Keys, zvaných aj MAK, na centrálny Key Management Service (KMS), ktorý aktiváciu produktov zabezpečuje priebežne a je viazaný na firemné prostredie, je pomerne bežný korporátny štandard.

Licenčné informácie si vypíšeme príkazom

slmgr /dlv

alebo keď chceme do príkazového riadka tak zo System32 príkazom

C:\Windows\System32>cscript slmgr.vbs /dlv

Tu sa dozvieme či sme zalicencovaný MAK kľúčom (Retail) alebo KMS a ak KMS, tak či používame Active Directory Based Activation, alebo ideme na KMS Server priamo.

Prepnutie z MAK na KMS a jeho aktiváciu spravíme príkazmi


C:\WINDOWS\system32>cscript slmgr.vbs /ipk generické číslo
C:\WINDOWS\system32>cscript slmgr.vbs /ato

Pričom čísla nájdeme rôzne na internete, napr. tu – Product Keys for Updating to KMS from MAK Activation. Použijeme príslušné číslo verzie, ktorú potrebujeme.

Zviditeľnenie naplánovanej úlohy pre užívateľov

Výsledkom bude, že užívateľ uvidí v Task manager službu, ktorú inak nevidí, lebo je prístupná len pre administrátora. Bude ju môcť stopnúť, spustiť, pozrieť nastavenia. Nebude ju vedieť modifikovať.

Začneme spustením poweshell cez psexec
Psexec -i -s PowerShell

Potom si nastavíme premenné. Za Tree dáme názov skužby, ktorú chceme zviditeľniť

$KeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\názov služby"
$KeyValue="SD"

$key=Get-ItemProperty -Path HKLM:\$KeyPath -Name $KeyValue
$binsd=$key.$KeyValue

$sddl=Invoke-WmiMethod -Class Win32_SecurityDescriptorHelper -Name BinarySDToSDDL -ArgumentList $binsd,$null
$sddl.sddl

Pridáme SID pre konto, skupinu užívateľov, pre ktorú chceme úlohu zviditeľniť. V tomto prípade S-1-5-11 je Authenticated Users
$ssdl2=$sddl.SDDL + "(A;OICIID;0xffffffff;;;BA)(A;OICIID;0xffffffff;;;S-1-5-11)"

Pridáme do registrov:
$binsd2=Invoke-WmiMethod -Class Win32_SecurityDescriptorHelper -Name SDDLToBinarySD -ArgumentList $ssdl2, $null
$key=Set-ItemProperty -Path "HKLM:\$KeyPath" -Name $KeyValue -Value $binsd2.BinarySD

Internet is down

V časoch pretrvávajúcich homeoffice-ov sa zo stabilného a primerane rýchleho domáceho internetu stal kľúčový artikel našich pohodových pracovných dní. Poďme sa spolu pozrieť čo robiť, keď nejde všetko tak ako by sme si predstavovali.

Jednou z prvých vecí, ktorú môžeme pri výpadku spraviť je overiť si, či nie sú hlásené lokálne výpadky nášho internetového operátora, napríklad na stránke https://downdetector.sk/.

Ak využívame špecificky služby napríklad od Microsoftu, alebo Google, hodíme očkom ešte aj na ich health-status stránky. Pre google to je napríklad:

Pre Microsoft môže byť:

Dajme tomu, že cloudové služby asi idú a vráťme sa k tomu, že nám nejde doma internet. Ak sme na stránke downdetektor zistili, že problémy hlásia aj iní, trochu nás to zahreje pri srdci, ale úprimne veľmi to nepomôže. Ak nie, problém je lokálny a technicky sme na tom síce rovnako, akurát osamotení, čo poteší predsa len o niečo menej.

Druhou vecou, ktorú je vhodné doma skontrolovať je stav v akom sa nachádza wifi router, resp. modem. Pri obývačkových zariadeniach sa dá povedať, že sa výrobcovia snažia aby zariadenie, ak je vo funkčnom stave, svietilo, resp. čo najmenej narušovalo obývačkovú pohodovú harmóniu zapáleného krbu, pohodlnej sedačky, jemnej hudby a pohára dobrého vína, lebo takto všetci dnes v panelákoch žijeme, všakže? Odhliadnuc od toho že realita je taká, že v tom neporiadku, ktorý dokážu deti v priebehu niekoľkých sekúnd v byte vyrobiť, ste radi, že sa k router-u vôbec prebojujeme, skutočnosť, že sa premenil na farebnú hudbu, už väčšinou neriešime vôbec. Fakt ale je, že ak hrá všetkými farbami, alebo na ňom svieti ikona, ktorú s tam z minula nepamätáme, je zle.

To je spoločné napríklad s palubnou doskou auta, kedy tiež platí, že čím menej svetielok ostane svietiť po naštartovaní, tým lepšie. Akurát pri autách platí taký pekný uzus o prepojení kritickosti hlásenia s farbou. Pri obývačkových routeroch to žiaľ neplatí. Buď hrajú všetkými farbami a nemusí to nutne znamenať, že niečo nefunguje (aj keď skôr áno), alebo, ako som písal vyššie, tam svieti niečo čo tam predtým nebolo ale hlavne, že je to farebne pekne zladené s plastovým krytom, logom výrobcu a magickým svetlom zapadajúceho slnka.

Ak teda nastala taká skutočnosť, môžeme vyskúšať router/modem reštartovať. Buď pohľadáme na zadnej stene vypínač, chvíľu počkáme a zase ho zapneme, alebo to skúsime cez web rozhranie. Štart týchto zariadení celkom trvá, navyše keď sú na nich naviazané aj iné služby ako telefónia, alebo televízia, takže nábeh môže pokojne trvať aj niekoľko minút.

Reštartovanie routera je vhodné spraviť z dvoch dôvodov. Prvým je, samozrejme inicializácia takéhoto zariadenia, ktoré po hodinách/dňoch/mesiacoch prevádzky môže ostávať zahltené nespracovanými, chybnými požiadavkami (v tejto súvislosti ak je to možné, pozrite do manuálu a nastavte si pravidelný reštart, alebo vypnutie/zapnutie zariadenia v konkrétnych hodinách, toto nikdy nie je na škodu), a druhým je, že vám tam operátor mohol počas výpadku o ktorom vie, zmeniť nejakú konfiguráciu siete. No a reštartom je možné urýchliť jej aplikovanie na váš router.

Apropo web rozhranie. Ono to je ešte celkom dobre rozlišovať, čo nám vlastne nejde. Či wifi pripojenie, alebo internet. Pri firemnej sieti to dokážeme odlíšiť rýchlo a v celku spoľahlivo, pretože vetu, nemôžem pracovať, nefunguje mi čas.sk…teda vlastne sieťový disk, dôverne poznáme všetci, ale doma, kde sa až na pár výnimiek wifi=internet sa nám tieto pojmy môžu zlievať.

Ak to nevieme identifikovať na základe ikoniek alebo iných hlásení v operačnom systéme, dobré je vyskúšať pripojiť sa cez web rozhranie na router. Ak sa nám toto podarí, interná wifi sieť nám ako tak funguje, a ak sa vieme do routera ešte aj prihlásiť, môžeme skontrolovať či nevykazuje nejaký problém, resp. pustiť nejakú diagnostiku, ktorú takéto zariadenia majú zabudovanú (samozrejme sa líši od výrobcu a modelu).

Web adresu routera zistíme napríklad tak že si naštartujeme príkazový riadok cez menu štart – príkazový riadok a napíšeme príkaz ipconfig. Adresa nášho wifi routera je označená ako Default gateway. Tú keď zadáme do web rozhrania, v štandardnom nastavení, by nám mala odpovedať web stránka routera a wifi sieť by mala fungovať (nehovorím že ísť bez problémov).

No dobre, dajme tomu, že wifi funguje. Nemám blokované zariadenia (teda zapol som nejaký filter podľa mac adresy, alebo iné limity, na obmedzenia internetu, ktoré sa zvyknú používať ako výchovný prostriedok pre deti), pokrytie v byte mám dostatočné atď., router som reštartoval, tak čo ďalej?

Určite sa oplatí skúsiť pripojenie do internetu od iného providera. V praxi to vyzerá tak, že ideme zazvoniť susedovi, ktorý sa minule chvastal aký má nový a super rýchly internet, ktorý si mi nikdy nebudeme môcť dovoliť, ale najmä ho má od iného operátora; odnesieme mu tú starú čokoládu, ktorú doma nikto nechce a pri tej príležitosti sa ho opýtame na dátumy narodenia jeho detí, dátum svadby, prípadne zdrobneninku, s ktorou usína pri myšlienkach na svojho miláčika – to BMW, ktoré parkuje pred bytovkou cez dve miesta určené pre parkovanie invalidov, a ideme domov triafať jeho heslo na wifi:-)

Ale nie, no. Treba si uvedomiť, že najmä v panelákoch, máme častokrát cez stenu bližšie wifi router suseda ako svoj, alebo má sused jednoducho spravenú wifi sieť kvalitnejšie ako my. Preto ak máme dobré vzťahy nie je problém dohodnúť sa na takomto zdieľaní internetu, čím značne zvýšime redundanciu nášho pripojenia do internetu. Nazvime to záložná linka cez suseda. A samozrejme nechováme sa ako hulvát a rovnakú službu mu ponúkneme aj my. Alebo fľašu slivovice. To potom ani VPN do roboty netreba.

Druhou vecou, ktorú ak máme možnosť, treba vždy vyskúšať, je vypnutie wifi a napojenie sa na mobilné dáta. V tomto prípad máme istotu, že nám do nefunkčnej siete nebude nijako zasahovať naše wifi pripojenie. Dátová sieť je zaujímavá aj v kombinácii keď nám niečo ide a niečo nie.

Vezmime si napríklad výpadok UPC zo 6.4.2021. Poobedňajší výpadok trval od cca 18.00 do 22.30. Po prvej pol hodine, ale začali chodiť slovenské stránky (pomohol reštart routera). Teda v takomto prípade sa síce neviete dostať na zahraničné weby, ale tie slovenské fungujú.

Krátka odbočka. Pri spomínanom výpadku, keby šli slovenské stránky sa šlo dostať napr. na portál http://www.cas.sk, ale na portál http://www.sme.sk nie. Dôvod bol ten, že sme.sk je hostované mimo územia SR a teda v prípade dostupnosti iba “slovenského” interntu bola ich stránka nedostupná. Informácie o stánkach si môžete pozrieť napr. cez službu whois.domaintools.com. Teda v tomto prípade https://whois.domaintools.com/sme.sk, a https://whois.domaintools.com/cas.sk.

Teda keď to prenesieme do pracovného života. Pokiaľ vám bežia pracovné servery na vzdialené pripojenie na našom území a nie sú hostované niekde v zahraničí, mali by sme sa byť na nich schopný pripojiť. Teda mala by fungovať aj firemná stránka/adresa napríklad Citrix-u, ale aj vytočenie VPN.

Ale zádrhel. Čo ak na pripájanie do VPN používame ešte aj overovanie druhým faktorom, ktoré nám beží v cloude, niekde v zahraničí? No tu použijeme kombináciu pripojenia s našim mobilným internetom. Teda na smartphone vypneme wifi, necháme bežať len dáta, overíme sa druhým faktorom a potom už využívame VPN cez wifi.

Jedna technickejšia záležitosť. Ak operátorovi nefunguje dostupnosť niektorých stránok, môže to byť spôsobené nedostupnosťou, alebo zlou konfiguráciou, ním predvolených DNS serverov. Odvážnejší z Vás si môžu toto nastavenie zmeniť na iný, verejne dostupný DNS server, ktorý bude robiť tento preklad názvov stránok na IP adresy.

Ak máme len jeden počítač, nastavenie DNS zmeníme vo vlastnostiach siete; ak chceme zmeniť pre celú našu wifi sieť, zmeníme na wifi routery.

Otvoríme si ovládacie panely – Centrum sietí – Zmeniť nastavenie adaptéra – vyberieme ten, cez ktorý sme pripojený- Vlastnosti

Ak používame protokol IPv4 aj IPv6, zmeníme v oboch, ak len jeden (typicky historicky IPv4), tak len le preň. Teda voľbu získať adresu servera DNS automaticky meníme na použiť tieto adresy.

Adresy DNS serverov napríklad google sú pre IPv4 primary – 8.8.8.8 a secondary – 8.8.4.4 a pre IPv6:
  • 2001:4860:4860::8888 (primary)
  • 2001:4860:4860::8844 (secondary)

Môžeme použiť aj iné verejne dostupné DNS servery. Napr. služby Cloudflare – 1.1.1.1 (primary) 1.0.0.1(secondary), OpenDNS 208.67.222.222 (primary), 208.67.220.220 (secondary) a viacero ďaších aj slovenských DNS.

Na obrázku nižšie je ukážka aký server DNS odpovedá pri hľadaní webu http://www.sme.sk keď je DNS zmenené na google:

A ak je ponechané default UPC nastavenie s predvoleným DNS severom od UPC (https://whois.domaintools.com/2001:730:3ef2::10).

Pri nových Windows-och sa zmena DNS prejaví hneď. Pozrieť si to vieme cez príkaz ipconfig /all z príkazového riadka, ale ak by nie, bude potrebé “reštartovať pripojenie”, buď fyzicky, teda odpojením a opätovným pripojením, prípadne softvérovým zapnutím a vypnutím siete (pravé tlačidlo na adaptér – vypnúť/zapnúť),

alebo aj cez príkazový riadok príkazmi ipconfig a parametrami /flushdns, /release a /renew.

Uvoľnenie miesta na disku vo Windows 10

Na prečistenie miesta na disku skúste nasledujúce kroky:

  1. Pustiť nástroj Disk Cleanup (v ponuke štart – Otvoriť, resp. otvoriť ako Admin)

V prvej záložke je možné vybrať potenciálne nepotrebné súbory systému Windows a zmazať ich,

V druhej zase odinštalovať nepotrebné aplikácie a body obnovy systému Windows

2. Použite vizuálneho nástroja na zobrazenie miesta na disku. Napr. SpaceMonger (http://www.aplusfreeware.com/categories/LFWV/SpaceMonger.html) alebo alternatívu. Nástroj vizuálne pekne zobrazí čo na disku zaberá koľko miesta. Takto vieme pekne identifikovať všelijaké dočasné, pracovné súbory, alebo súbory súvisiace s logmi, chybami, starými inštalátormi apod. a jednoducho ich zmazať ak nepotrebujeme.

3. Zobrazenie koľko čo zaberá cez Nastavenia Windows 10 (windows tlačítko + i) – Systém – Úložisko

4. V tomto istom menu je rozumné zapnúť aj Senzor úložiska, čo je akási umelá inteligencia, ktorá na pozadí komprimuje nepoužívané dáta a šetrí tak úložisko (2 na obrázku)

5. Pokiaľ sa jedná o nejakú konkrétnu aplikáciu, ktorá zapĺňa disk, pozrieť do nastavení aplikácie a pohľadať či sa nedá nastaviť aby nepoužívala predvolený adresár na ukladanie pracovných dát (typicky na C:), ale zmeniť iný na inom disku, ktorý nie je taký zaplnený.

6. Ak si nepomôžeme s prekonfigurovaním aplikácie v nej samotnej, môžeme presmerovať na iný disk adresáre aplikácie systémovo pomocou tzv. Directory Junction. Ako príklad pripájam postup pre presmerovanie user data Chrome. Pre hocijakú inú aplikáciu je to obdobné:

  • Zatvoríme Chrome. Otvoríme Task Manager (taskmgr.exe,  alebo pravým na spodný panel – Spustiť Správcu úloh) a pozatvárame všetky bežiace procesy chrome.exe, ak nejaké ostali.
  • Vytvoríme si cieľový adresár, ktorý chceme aby Chrome po novom využíval. Dajme tomu, že ho uložíme na disk D –  D:\Chrome User Data
  • Nalistujeme si aktuálny adresár s profilom Chrome. Ten sa nachádza v adresári – C:\Users\{užívateľské meno}\AppData\Local\Google\Chrome\User Data, kde užívateľské meno je skutočné meno užívateľa, ktorého Chrome profil migrujeme.
  • Celý jeho obsah presunieme do nového adresára, ktorý sme vytvorili na D:. Teda z C: zmizne celý adresár “User Data” aj s celým obsahom a na disku D: pribudne adresár “User Data” aj s celým obsahom. (bod 5 sa nedá vytvoriť, keď adresár, ktorý presmerovávame ešte existuje aj v pôvodnom umiestnení, preto ho je do nového umiestnenia potrebné presunúť).
  • No a nakoniec už len vytvoríme prepojenie medzi novým a starým adresárom – Otvoríme si cmd.exe ideálne ako Administrátor a zadáme nasledujúci príkaz

mklink /J “C:\Users\{užívateľské meno}\AppData\Local\Google\Chrome\User Data” “D:\Chrome User Data\User Data”

! pozor na úvodzovky. Ak príkaz vypíše chybu, zmažeme ich a napíšte ich manuálne na našej klávesnici.
! Odstránenie Junction je potom jednoduché. Stačí ho cez Windows Explorer zmazať.

7. Pri PC, resp. ak sa nepoužíva hybernácia, pekné miesto sa dá ušetriť aj vypnutím súboru do ktorého sa ukladá stav hibernácie pomocou príkazového riadka a príkazu powercfg /hibernate off

8. Kompresia súborov operačného súboru – rovnako tak spustíme príkazový riadok (napr. s ponuky štart) ako administrátor a napíšeme príkaz Compact.exe /CompactOS:always. Pripravme sa na to, že to bude chvíľu trvaťJ

Office 2013 sa nechce overiť voči Onedrive/Sharepoint 365

Vyzerá to potom tak, že ak otvárate súbor v lokálnej aplikácii Office z webu Onedrive/SharePoint, otvorí sa Word/Excel, a donekonečna si pýta overenie na web stránku vášho tenantu. Pes je (resp. môže byť) zakopaný v použití modern authentication. Novšie verzie od 2016 to majú podporované a zapnuté, staršie ako 2010 zase modern authentication nepodporujú.

Pre Office 2013 je to možné zapnúť v registroch vo vetve

HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\	

Kde vytvoríme Dword kľúč EnableADA a nastavíme na 1 a rovnako tak kľuč Version nastavíme na 1.

V nastavení SharePointu sa časť ohľadne moderného overovania nachádza časti Politiky – Riadenie prístupy – Aplikácie, ktoré nepoužívajú moderné overovanie

V nastaveniach Onedrive zase v časti Prístup zariadenia.

Moderné vs. klasické stránky na SharePoint-e 365

Jeden z rozdielov medzi klasickými a modernými stránkami na SharePoint-e je spôsob akým narábajú so skupinami a prístupovými oprávneniami. Kým klasické lokality využívajú skupiny, ako sme zvyknutý napr. zo SharePoint-u 2013, moderné stránky používajú O365 Groups a aj sa manažujú cez centrum spravovania O365.

Všimnime si, že v predvolenom režime keď sa používateľ snaží vytvoriť stránku/lokalitu, veľmi na výber nemá a môže vytvoriť len moderné stránky

Toto nastavenie sa dá zmeniť v nastaveniach SharePoint-u – Stránky

a cez Nastavenia – Vytvorenie lokality

alebo cez Nastavenia – Klasické nastavenia

Keď takúto stránku vytvoríme, všimneme si, ako vyzerá manažment prístupových práv cez pravé horné menu

Keď ťukneme na ikonu členov, môžeme ich odtiaľ manažovať. Rovnako tak ako to môžeme spraviť cez skupiny v O365, kde vieme tiež pridať vlastníkov, členov atď.

Rovnako tak to vieme manažovať cez lokality v admin centre SharePoint-u

Všimneme si najmä popisok “vlastníci lokality v M365”, ktorý jasne odkazuje na použitú skupinu, ktorá riadi prístupové práva.

Ak chceme vytvoriť klasickú lokalitu, môžeme tak spraviť cez admin centrum, keď pri pridávaní lokality vyberieme ďalšie možnosti

Zrazu máme k dispozícii klasické šablóny

Po vytvorení lokality si v hornom menu všimneme ako sa zmenili ikony a možnosti pridávania oprávnení

a možnosti po rozkliknutí

Stále funguje aj klasické ozubené koleso a povolenia lokality

V nastaveniach lokalít SharePoint-u pekne vidíme aké typy skupín sme pre jednotlivé lokality fff a ff použili.

Klasické pridávanie povolení cez toto admin centrum sa potom zmenilo nasledovne: