Marco Protasi

durante l’installazione dell’aggiornamento KB5034441 per Windows 10 è possiible incorrere nell’errore 0x80070643 – ERROR_INSTALL_FAILURE

L’errore è causata dallo spazio insufficiente nella partition recovery, l’aggiornamento in questione richiede uno spazio libero di 250MB

1. E’ possibile risolvere ridimensionando la partition recovery come segue:
2. Aprire una finestra del prompt dei comandi (cmd) come amministratore.
3. Per controllare lo stato di WinRE, eseguire reagentc /info. Se WinRE è installato, dovrebbe essere presente una “posizione di Ambiente di ripristino di Windows” con il percorso della directory di WinRE. Un esempio è: “Posizione di Ambiente di recupero di Windows: [file://%3f/GLOBALROOT/dispositivo/harddisk0/partizione4/Recupero/WindowsRE]\\?\GLOBALROOT\dispositivo/harddisk0/partizione4/RecuperoWindowsRE”. Qui, il numero dopo “harddisk” e “partition” è l’indice del disco e della partizione in cui si trova WinRE.
4. Per disabilitare WinRE, eseguire reagentc /disable
5. Riduci la partizione del sistema operativo e prepara il disco per una nuova partizione di ripristino.
   1. Per ridurre il sistema operativo, eseguire diskpart
   2. Esegui list disk
   3. Per selezionare il disco del sistema operativo, esegui sel disk<OS disk index>Questo dovrebbe essere lo stesso indice disco di WinRE.
   4. Per controllare la partizione nel disco del sistema operativo e trovare la partizione del sistema operativo, esegui list part
   5. Per selezionare la partizione del sistema operativo, esegui sel part<OS partition index>
   6. Esegui shrink desired=250 minimum=250
   7. Per selezionare la partizione WinRE, esegui sel part<WinRE partition index>
   8. Per eliminare la partizione WinRE, esegui delete partition override
6. Crea una nuova partizione di ripristino.
   1. Innanzitutto, verifica se lo stile della partizione del disco è una GUID Partition Table (GPT) o un Master Boot Record (MBR). A tale scopo, eseguire list disk. Controlla se nella colonna “Gpt” è presente un carattere asterisco (*). Se è presente un asterisco (*), l’unità è GPT. Altrimenti, l’unità è MBR.
   2. Se il disco è GPT, esegui create partition primary id=de94bba4-06d1-4d40-a16a-bfd50179d6ac seguito dal comando gpt attributes =0x8000000000000001
   3. Se il disco è MBR, eseguire create partition primary id=27
   4. Per formattare la partizione, eseguire format quick fs=ntfs label=”Windows RE tools”
7. Per verificare che la partizione WinRE sia stata creata, eseguire list vol
8. Per uscire da diskpart, esegui exit
9. Per abilitare nuovamente WinRE, esegui reagentc /enable
10. Per verificare dove è installato WinRE, eseguire reagentc /info

Nota Se la creazione non riesce o non vuoi estendere la partizione WinRE, esegui reagentc /enable per abilitare nuovamente WinRE.

Riferimento all’articolo Microsoft KB5034441 0x80070643 – ERROR_INSTALL_FAILURE

riconfigurando il controller SATA in modalità AHCI (magari passando da una precedente modalità RAID) è possibile imbattersi nell’errore ” Inaccessible Boot Device“, in questo caso sarebbe bene prima di modficare la configurazione eseguiere la seguente procedura:

• Avviare cmd “Esegui Come Amministratore”
• bcdedit /set {current} safeboot minimal (ALT: bcdedit /set safeboot minimal)
• Riavvaire il computer, accedere al bios modificare SATA in AHCI
• Salvare le impostazioni e riavviare in modalità provvisoria
• Avviare cmd “Esegui Come Amministratore”
• bcdedit /deletevalue {current} safeboot (ALT: bcdedit /deletevalue safeboot)
• Riavviare Windows in modalità mormale, ora il sistema si avviera con i driver AHCI

E’ possibile tentare di applicare la procedura anche a sistemi che presentano l’errore “Inaccessible Boot” eseguento la stessa procedura ma avviando al primo step in modalità provvisoria anzichè normale, e procedere successivamente con tutti i punti indicati.

Durante la procedura di upgrade in place può capita di impattersi nell’errore L’installazione di Windows 10 non è riuscita a convalidare il codice prodotto che impedisce quindi il rilevamento della product key e relativa versione del sistema operativo. Gli step di analisi preliminari sono i soliti generici

• Rimuoevere eventuali software antivirus ed antispyware, durente le procedure di upgrade in place sempre meglio disinstallarli.
• Controllo sfc /scannow , assicuriamoci così che non ci siano problemi di integrità nel nostro sistema.
• Controllo degli aggiornamenti ed eventualmente provvediamo ad installare quelli mancanti.

Fatti questi rapidi check se il problema persiste procediamo come segue.

• Estrarre la ISO
• Aprire notepada ed incollare la seguente stringa [EditionID] [Channel] Retail [VL] 0

• Salve in file con nome EL.cfg nella direcotry Sources nella posizione dove abbiamo estratto la ISO.
• Avviare il setup.exe e procedere con l’installazione

Volendo è possiible poi trasformare quella directory in un’iso da usare per boot pendrive o simili per futuri riutilizzi

Appearentemente dopo alcuni aggiornamenti Acrobat Reader al momento di effettaure il Salva con nome mostra una finestra vuota, per risolveare accedere al menu

Modifica > Preferenze > Generale

Rimuove flag

Mostra archiviazione online all’apertura dei file

Mostra arcvhiazione online al salvataggio dei file

Confermare con OK le modifiche, chiudere e riaprire Acrobat Reader

Nel caso di errore CAPI event id 513:

Servizi di crittografia: impossibile elaborare la chiamata OnIdentity() nell’oggetto writer del sistema.

Details:
AddLegacyDriverFiles: Unable to back up image of binary Microsoft Link-Layer Discovery Protocol.

System Error:
Accesso negato.
.

La causa potrebbe essere un errore di autorizzazione di accesso al servizio VSS Writer, procedere come segue:

• Aprire una finestra del prompt dei comandi amministrativa e quindi eseguire il comando seguente per verificare le autorizzazioni correnti:

sc sdshow mslldp

• Copiare la stringa di output del passaggio precedente, aggiungendo (A;;CCLCSWLOCRRC;;;SU), quindi eseguire il comando seguente per aggiungere l’autorizzazione di accesso a Mslldp.dll:

sc sdset mslldp <string>

Maggiori informazioni alla Kb3209092 Microsoft

Nei casi in cui outlook non si apra e mostri messaggi di errore del tipo “Impossibile avviare Microsoft Office Outlook. Impossibile aprire la finestra di Outlook” ( “Cannot start Microsoft Office Outlook. Cannot Open the Outlook Window”) è ossibile procedere al ripristino con il comando:

outlook.exe /resetnavpane

da lanciare dalla direcotry in cui è presente l’eseguibile outlook.exe.

La procedura non compromette o altera dati e/o configurazione degli account.

Le possibili cause possono essere:

• profilo Outlook danneggiato
• pannello di navigazione difettoso
• componenti aggiuntivi che presentano errori

Tramite registry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
LongPathsEnabled DWORD (32-bit) 
0 disabilitato
1 abilitato

Tramite group policy
Computer Configuration > Administrative Templates > System > Filesystem.
“Enable win32 long paths”

Richiesto riavvio

Per disattivare la finestra di dialogo semplificata la creazione di Account in Outlook 2016, 2019 Outlook o Outlook per Office 365 e utilizzare invece la finestra di dialogo account tradizionale, attenersi alla seguente procedura.

1. Chiudere Outlook.
2. Avviare l’Editor del Registro di sistema. A tale scopo, utilizzare una delle seguenti procedure, come appropriato per la versione di Windows.
   • 10 di Windows, Windows 8.1 e Windows 8: Premere il tasto Windows + R per aprire la finestra di dialogo Esegui . Digitare regedit.exe e quindi fare clic su OK.
   • Windows 7: Fare clic su Start, digitare regedit.exenella casella di ricerca e quindi premere INVIO.
3. Nell’Editor del Registro di sistema individuare e fare clic sulla sottochiave impostazioni utente nel Registro di sistema: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\setup o la sottochiave di criteri di gruppo nel Registro di sistema:   HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Outlook\setup
4. Scegliere Nuovo dal menu Modifica , quindi valore DWORD (32-bit).
5. Digitare DisableOffice365SimplifiedAccountCreatione quindi premere INVIO.
6. Destro DisableOffice365SimplifiedAccountCreatione quindi selezionare Modifica.
7. Nella casella Dati valore digitare 1, quindi fare clic su OK.
8. Dal menu File , selezionare Esci per uscire dall’Editor del Registro di sistema.

Nel caso permangano problemi controllare ed eventaulmente creare le seguenti chiavi, è richiesto il riavvio per l’applicazione:

Per TLS 1.2

E’ divenuta ormai prassi usare software di backup con tecnologia image, molti di questi si affidano, in ambito Windows, al servizio VSS per creare snapshot della situazione del disco, indubbiamente soluzioni molto utili ma è bene tenere in considerazione l’eccezione dei file sottoposti a VSS.

Il servizio VSS infatti esclude alcune posizioni e/o tipi di file la conseguenza è che l’eventuale backup che faccia uso di VSS non eseguirà il backup di quei file, un esempio tra tutti i file .ost di Outlook.

Rimediare è relativamente semplice, basta modificare le chiavi nel registro alla posizione :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToSnapshot

Da notare la presenza anche di HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup

• Excluding Files from Shadow Copies
• Veeam Agent – How Backup Works

Capita, anche nel caso di alcune nuove installazioni o reinstallazioni di Windows 7/8/Server 2012 R2 che non si riesca ad eseguire il rilevamento o il download degli aggiornamenti disponibili in alcuni è anche possibile non riuscire ad installare patch o fix scaricati manualmente.

Per risolvere è sufficiente seguire questi tre punti

• Scaricare l’aggiornamento in base al proprio sistema operativo
  • Windows 7 KB3102810
  • Winfows 8 KB3102812
• Eseguito il download disconnettere la macchina da intenet. In molti casi l’applicazione dell’aggionamento fallisce se la macchina è connessa ad internet
• Installare l’aggiornamento ed effettuare il reboot, a reboot eseguito riconnettere la macchina ad internet e procedere con Windows Update

Accendo a risorse di rete di macchina Windows7 /2008/2008R2 è possibile ricevere il messaggio “The handle is invalid”, il problema sembra dovuto a degli aggiornamenti di Gennaio 2019 una possibile prima risoluzione è da prompt dei comandi:

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

riavviare la macchina

Tra i tool Solution Accelerator troviamo anche Microsoft Virtual Machine Convert, un tool per permette la conversione delle macchine virtuale dall’ambiente VMWare ESX a Hyper-V

Tool dalle dimensioni ridotte, circa 4.3MB, richiede però che sia installato sia il .NET framework 3.5 che il 4

Questo il link di per il download del tool e documentazione relativa

https://www.microsoft.com/en-us/download/details.aspx?id=34591

Può capitare che Excel non aggiorni automaticamente, in alcuni o tutti i documenti, i risultati delle formule nelle celle. Ciò è dovuto ad alcune impostazioni che determinano il calcolo delle formule.

Tali impostazioni sono in File –> Opzioni –> Formule

Impostare su “Automatico” per avere un ricalcolo immediato delle formule nelle celle

MDT è un comodo tool  della famiglia Solution Accelerators che aiuta ad automatizzare il processo di installazione di client e server

tra le novità della versione MDT 2012 troviamo

-Supporto per System Center 2012 Configuration Manager

-Integrazione con Microsoft Diagnostics and Recovery Toolset 7 (DaRT) and Security Compliance -Manager (SCM)

-Supporto per il deploy di Windows 8 Preview

-Supporto per Windows Server 2012 Beta

Download MDT x86 x64 e documentazione

Per chi non conoscesse ancora i Solution Accelerators qui potrà trovare maggiori informazioni

Due link per segnalare approfondimenti sula configurazione delle partizioni disco in Windows 7 / 2008 R2, sia per sistemi BIOS che UEFI

BIOS

UEFI

Velocemente come recuperare il product number  ed il serial number di un server o personal computer

Serial Number

 

wmic bios get serialnumber

Product Number

 

wmic /namespace:\\root\wmi path MS_SystemInformation

WGET , volendo sintetizzare in estremo, è un tool estremamente potente per il download permette infatti non solo il download di uno specifico file ma anche di tutti i file presenti in un dato sito o a partire da un dato percorso, il tutto sia tramite protocollo http che ftp autenticazione compresa.

Non credo ci sia bisogno di aggiungere altro, ecco alcuni esempi di uso

wget https://www.protasi.it/download/PRESENTAZIONE.pdf

permette il download di un singolo file tramite protocollo http.

Più interessante, a scopi amministrativi, l’uso tramite autenticazione.

Un esempio

wget –-user=%USERNAME% –-password=%PASSWWORD% ftp://srvbackup.protasi.it

Un possibile scopo è facilmente intuibile dall’esempio riportato

Download WGET Windows

Web Site  WGET

E’ possibile modificare il tempo di time out degli script o tramite Group Policy o tramite registri

Percorso registry

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
“MaxGPOScriptWait”=dword:00001800

La chiave è di tipo DWORD ed il valore è espresso in secondi

Policy

 

Computer Configuration \ Administrative Templates \ System\Scripts Maximum wait time for Group Policy

In Windows 2000 e 2003 non è possibile definire più policy password, magari per avere criteri di sicurezza più stringenti per determinati account, ma si ha una sola Policy password applicata all’intero dominio.

Per avere Policy password diverse era necessario quindi creare un nuovo dominio o affidarsi a soluzioni di terzi produttori.

In Windows 2008 è ora possibile definire password policy multiple tramite l’introduzione della feature fine-grained password and lockout policy che si basa su due nuove classi di oggetti

• Password Settings Container
• Password Settings Object

La Classe Passowrd Settings Container viene creato durante la crezione del dominio

CN=Password Settings Container, CN=System, DC=Domain, DC=ExtensionDomain

questa classe non è cancellabile ne modificabile

La classe Password Settings Object contiene le diverse impostazioni di password che si vogliono utilizzare, gli oggetti di questa classe possono essere creati e modificati.

Bene tenere presente comunque che esiste soltanto una Password and lockup Policy Settings che è applicata a tutti gli utenti del dominio, il Fine-Grained password policy sono applicati tramite i PSO a specifici utenti o membri di gruppi globali.

Requisiti

Domain Functional Level: Windows 2008, questo significa che tutti i domain controller del dominio devono essere almeno Windows 2008 Server.

Solo gli amministratori di dominio possono creare, modificare e collegare PSO. E’ comunque possibile effettuare una delega.

Priorità

Ogni PSO, come per le Policy, ha un valore che ne indica la precedenza, 1 indica la precedenza più alta rispetto a 2.

-PSO vengono applicati quelli con precedenza più alta. PSO con precedenza 1 prioritario rispetto a PSO precedenza 2 ecc…

-PSO applicati direttamente ad utenti hanno la precedenza su quelli applicati ai gruppi

-In caso di PSO con stesso precedenza verrà applicato quello con GUID più basso

Implementazione

I PSO non vengono applicati a specifiche OU ma applicati direttamente a global group o utenti, è possibile quindi creare un gruppo globale, inserire in questo gli utenti oggetto della speficia fine-granted password e poi associare il PSO a questo global group .

Le impostazioni gestibili tramite il fine-grainted password sono identiche a quelle presenti nella Password Policy delle GPO, tuttavia la gestione non avviene tramite GPO ma manca di una propria GUI e va eseguita tramite ADSIEdit, LDIF, PowerShell, tool di terze parti come https://www.specopssoft.com

Questi gli attributi di un PSO

msDS-PasswordSettingsPrecedence
GPO: Password Settings
Valore arbitrario usato per definire quale policy ha la precedenza se ad un gruppo si applicano più PSO.

msDS-PasswordReversibleEncrisptionEnable
GPO: Password Settings
Booleano (default FALSE). Definisce se la password deve essere salvata in reversible encription

msDS-PasswordHistoryLength
GPO: Password Settings
Numero di password usate memorizzate dal sistema. Determina quante password un utente deve cambiare prima di poterne riutilizzare una. (default 24)

msDS-ComplexityEnabled
GPO: Password Settings
Booleano (default TRUE). Definisce se la password deve rispettare i criteri di complessità

msDS-MimimumPasswordLength
GPO: Password Settings
Definisce la lunghezza minima di una password (default 7)

msDS-MinimumPasswordAge
GPO: Password Settings
Formato I8 (default 1 giorno = -864000000000) Durata minima di un password prima di poter essere modificata.

msDS-MaximumPasswordAge
GPO: Password Settings
Formato I8 (default 42 giorni = -36288000000000) Durata massima di una password

msDS-LockoutThreshold
GPO: Account Lockout
(Default 0) Definisce il numero di tentativi falliti prima di mettere un utente in lockout

msDS-LockoutObservationWindows
GPO: Account Lockout
Formato I8 (default 30 minuti = -18000000000) Dopo quanto tempo, dall’ultimo tentativo, il conteggio dei tentativi errati di logon viene azzerato

msDS-LockoutDuration
GPO: Account Lockout
Formato I8 (default 30 minuti = -18000000000)

msDS-PSOAppliesTo
Elenco degli oggetti (User Account e/o Global Security Group) a cui la policy si applica

I valori che indicano intervalli temporali sono espresso nel formato I8, cioè in nanosecondi negativi

Creazione PSO tramite ADSIEdit

• Avviare ADSIEdit
• click tasto destro, selezionare connect to, inserire il nome dominio e premere ok
• Espandere il nome principale, espandere il Distingued Name del dominio, espandere CN=System, e selezionare CN=Password Settings Container. Qui sono elencati i vari PSO creati

• Tasto destro e “New Object”

• proseguire indicando le impostazioni password e lockout volute. nell’ordine viene richiesti
  • CN
  • msDS-PasswordSettingsPrecedence
  • msDS-PasswordReversibleEncryptionEnabled
  • msDS-PasswordHistoryLength
  • msDS-PasswordComplexityEnabled
  • msDS-MinimumPasswordLength
  • msDS-MinimumPasswordAge
  • MaximumPasswordAge
  • msDS-LockoutThreshold
  • msDS-LockoutObservationWindow
  • msDS-LockoutDuration
• Indicare ora a quali gruppi/utenti/utente applicare tale PSO, tasto destro sul PSO creato e scorrere la lista attributi fino a msDS-PSOAppliesTo, click su “Edit” e aggiungere  gli utenti o il DN del Global Group a cui applicare il PSO

msDS-ResultantPSO e msDS-PSOApplied

l’attributo msDS-ResultantPSO mostra il PSO applicato all’utente, per visualizzarlo:

• aprire lo snap-in Active Directory Users and Computers
• e attivare la Advance Features.
• Visualizzare le proprieta’ dell’utente e selezionare la scheda Attribute Editor
• Selezionare Constructed dal pulsante Filter
• Scorrere la lista attributi fino a msDS-ResultantPSO

l’attributo msDS-PSOApplied mostra il PSO applicato ad un dato Global Group, per visualizzarlo:

• aprire lo snap-in Active Directory Users and Computers
• e attivare la Advance Features.
• Visualizzare le proprieta’ dell’Global Gorup e selezionare la scheda Attribute Editor
• Selezionare BackLinks dal pulsante Filter
• Scorrere la lista attributi fino a msDS-PSOApplied

Creazione PSO tramite LDIF

Il file LDIF per la creazione di un PSO deve contenere le direttive:

dn: CN=PSO_LDIF,CN=Password Settings Container,CN=System,DC=protasi,DC=local
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:15
msDS-PasswordHistoryLength:30
msDS-PasswordComplexityEnabled:TRUE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=PSO_Example2,OU=Group,DC=protasi,DC=local

l’importazione in Active Directory avviene con lo strumento ldifde (supponendo di aver chiamato il file PSO2.ldif) da riga di comando

ldifde -i -f PSO2.ldif

Powershell

non poteva mancare l’opzione PowerShell, ecco un esempio

New-ADFineGrainedPasswordPolicy -Name “PSO_PowerShell” -Precedence 500 -ComplexityEnabled $true -Description “The Domain Users Password Policy”-DisplayName “Domain Users PSO” -LockoutDuration “0.12:00:00” -LockoutObservationWindow “0.00:15:00” -LockoutThreshold 10 -MaxPasswordAge “60.00:00:00” -MinPasswordAge “1.00:00:00” -MinPasswordLength 8 -PasswordHistoryCount 24 -ReversibleEncryptionEnabled $false

Risorse Correlate

https://technet.microsoft.com/en-us/library/dd367859(WS.10).aspx

https://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx

https://technet.microsoft.com/en-us/library/cc754461(WS.10).aspx

https://blogs.technet.com/b/italy/archive/2007/05/23/technet-newwave-tour-approfondimenti-su-password-policy.aspx

https://technet.microsoft.com/it-it/library/cc754461(WS.10).aspx