RRAS не работает с DHCP на Windows Server 2019


Давно не имел дела с RRAS (Routing and Remote Access Service) и недавно пришлось вспомнить о нём. Ранее я писал об опыте перехода на удаленную работу, в частности о настройке фермы RDP. И вот тот же повод заставил обратиться к RRAS.

Появилась категория сотрудников, которым для использования некоторого приложения (привет Cisco :-) ) обязательно нужен VPN. И опять, как в случае с WSUS, возникла нетривиальная проблема на Windows Server 2019. Только теперь проблема была в том, что RRAS никак не хотел работать с внутренним DHCP сервером для раздачи адресов VPN клиентам. Решение в правке реестра и перезапуске RRAS:

reg add "HKLM\SYSTEM\CurrentControlSet\Services\Dhcp" /v RequiredPrivileges /d "SeChangeNotifyPrivilege"\0"SeCreateGlobalPrivilege"\0"SeImpersonatePrivilege"\0 /t REG_MULTI_SZ /f

Собственно две первые привилегии присутствуют по умолчанию и нужно добавить только SeImpersonatePrivilege.

Лечим импорт обновлений на WSUS


Давно не добавлял обновления на WSUS вручную. И тут надо было обновить драйвер на многих серверах. На Windows Update он есть, но вручную обновлять кучу серверов это не вариант. Запустил консоль WSUS, выбрал в меню соответствующую опцию, запустился Internet Explorer с сайтом Catalog Update, нашёл нужные драйверы, добавил в корзину, запустил импорт и … Fail в статусе.

Начал искать причину проблемы. WSUS работает на Windows Server 2019, все обновления установлены. На прокси сервере коннекты проходят нормально. Конфигурация Internet Explorer в норме. В общем время вышло и пришлось переключиться на более важную работу.

К вечеру занимаясь абсолютно другой проблемой совершенно случайно наткнулся на статью в блоге, где мимоходом упоминалась проблема с WSUS, очень похожая на мою. Оказалось, что это решение.

Достаточно добавить в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 ключ SchUseStrongCrypto со значением DWORD:00000001 и перегрузить WSUS сервер.

Полезная ссылка Enable Transport Layer Security (TLS) 1.2 on the site servers and remote site systems — Configuration Manager | Microsoft Docs

SCCM и перенаправление папок в терминальной ферме


В этом году использование технологий удаленной работы стало особенно популярным, и я уже поделился опытом эксплуатации терминальной фермы на основе Windows Server 2019 в предыдущих постах. Забыл упомянуть про один подводный камень. Если вы используете SCCM и перенаправление с помощью групповых политик папок на серверах терминальной фермы (таких как, например, Desktop и Documents), то в настройках SCCM клиента вам нужно выключить настройку «Enable user data and profiles», которая находится в Compliance Settings\Default Settings в той политике клиента, которая применяется в серверам. Если эта политика включена, то политики перенаправления папок не будут работать. Некоторые подробности можно найти на форуме. Удивительно, что новые классы WMI перекрывают настройки групповых политик, которые по определению должны иметь приоритет, но это факт.