gOxiA=苏繁=SuFan Blog

HOWTO:解决 Windows 备份无法读取备份目标(0x8078006F)错误

        gOxiA 已经应用 VDI 有一段时间，感觉非常好！架构很简单，使用的是 Windows Virtual PC，安装了 Windows 7 Enterprise 虚拟机，并将其加入到了公司的域环境，而这个虚拟机的 Virtual Hard Disk（VHD）则通过 iSCSI 存储在公司的服务器上。而原机（ThinkPad T420）为工作组环境，并创建了一个与AD账号密码相同的本地帐号，软件方面则保留了常用的应用软件，这样一来不仅使系统更加干净，而且也显得不那么臃肿，因为有些软件也不是经常要用，可能在办公环境下才需使用，那么都安装到笔记本上负载实在是有些大。所以也趁此机会重新为笔记本装了系统，并计划通过网络共享存储本机的系统备份和数据备份。之所以要分开备份是因为系统备份只需要根据实际需要创建特定的系统状态备份即可，而数据备份则是通过计划实施的，每个星期对关键卷上的数据进行自动备份。

        而前面讲到的备份需求，Windows 7 正好可以实现，通过控制面板进入“备份和还原”功能，为数据备份创建一个备份计划，具体的操作过程可以参考之前的日志《[Windows 7] 使用 Windows 备份功能保护硬盘数据》，唯一的区别是存储位置选择一个网络共享路径。因为存储目标是服务器上的一个共享路径，所以身份验证使用的是域账号（domainusername），对数据的备份计划一路下来都是正常的，而且也能够完成备份工作，未发现任何问题。

        但是，通过”创建系统映像“时却出现了问题，与备份计划的过程大致相同，访问权限同样使用的是域帐号，共享路径也验证没有问题，但是开始备份时却提示”Windows 备份无法读取备份目标。（0x80780006F）“具体错误信息可参考下图：

        账号密码没有任何错误，之前的备份计划也没有问题，为什么创建系统映像就会失败？！于是反复测试配置共享文件夹的权限和目录权限，也都未发现问题，网上也搜索了相关的关键词，没有任何帮助。无奈之下尝试更换其他域帐号进行配置，晕！竟然能够备份……看来还需要在服务器上找线索，于是打开了事件日志，果真在安全日志下发现了问题，在使用出现问题的域账号执行“创建系统映像”时安全日志会记录几个安全审核失败的日志，大概的意思是我的账号未通过身份验证一类的信息！！！而貌似未通过身份验证的账号是我客户端的本机账号。难道是 Windows 7 的 Bug，在执行“创建系统映像”时默认提交的是本机当前的账号密码而非配置的账号密码？！

        最后，还是向微软提交了 Case，经过一番折腾历时13天的沟通测试，微软方面最后模拟我的环境进行了测试，也发现了同样的问题。并建议我本机账号与域帐号密码不要相同，之后我按此进行了测试，故障消失！真相终于大白了！执行“创建系统映像”时，当本地帐号与域帐号名称密码相同时，并且是使用网络共享存储系统映像备份，那么就会出现“Windows 备份无法读取备份目标。（0x8078006F）”的故障，而 gOxiA 认为这因该是 Windows 7 的一个 Bug，并将个人观点反馈给微软方面。

        就在本文即将结束时，收到了微软方面传来的信息：

        “根据您的信息我们跟产品开发组进行交流和讨论，从源代码上可以看出来以下症状是个bug：在未加入域的电脑中，本地账户密码和AD账号密码完全一致的时候，创建系统映像到一个域的网络共享文件夹，是会对路径进行错误的认证解析。而基于上述的情况，我们的Escalation工程师已经提交到相关项目组里进行研究。”

        最后， gOxiA 期望能在后续的更新补丁中看到该问题得到解决！

微软发布 Microsoft Deployment Toolkit 2012 正式版

        微软在发布 Microsoft Deployment Toolkit 2012 RC 的 1个月之后悄然发布了其 RTW 版本，之前 gOxiA 有通过 QQ 和 SinaWeibo 与大家了下载地址，但一些朋友还是在询问我 MDT 2012 的下载地址，所以在5月里开篇的第一个日志，gOxiA 将于大家分享 MDT 2012 正式版的相关信息。

        目前 Microsoft deployment Toolkit（MDT）2012 正式版已经在 Microsoft Download Center 提供下载，点击下面的链接即可进入下载页面。

下载：Microsoft Deployment Toolkit 2012

        MDT 2012 包含了一系列的改进

• 支持从旧版本的 MDT 升级
  MDT 2010 Update 1; MDT 2010 RTW; MDT 2008 Update 1
• 集成了 Security Compliance Manager 模板
  MDT 2012 支持在部署操作系统的过程中实施 Security Compliance Manager 模板
• 在任务序列中运行 Powershell
  MDT 2012 支持在 LTI, ZTI, UDI 部署模式中运行 PowerShell 脚本。（注：目前还不支持 PowerShell 3.0）
• 创建 BitLocker Drive Encryption 分区
  MDT 2012 允许我们在部署过程中创建 BitLocker 加密分区。
• 自动配置 CEIP（Windows Customer Experience Improvement program）和 WER（Windows Error Reporting）
  MDT 2012 支持在以下部署模式中自动配置“Windows 客户体验改进计划”和“Windows 错误报告”：
  · Standard Client Task Sequence in LTI, ZTI with SCCM 2012, and ZTI with SCCM 2007 R3
  · Standard Server Task Sequence in LTI, ZTI with SCCM 2012, and ZTI with SCCM 2007 R2
  · Deploy to VHD Client Task Sequence in LTI
  · Deploy to VHD Server Task Sequence in LTI
  · User-Driven Installation Task Sequence in UDI

        MDT 2012 的数据库改进

        MDT 2012 已经更新为使用 SQL Server 2008 R2 with SP1 数据库，如：SCCM 2012 site database, SCCM 2007 R3 site database, MDT DB。

        轻量级部署（LTI）改进

• 支持部署 Windows 8 Consumer Preview 和 Windows Server “8”Beta（注意： Install Roles and Features 任务序列还不支持 Windows Server “8”Beta）。
• 支持 Windows Assessment and Deployment Kit（注意：Windows ADK 只支持在实验环境中部署 Windows 8 Consumer Preview 或 Windows 7）。
• 监视 LTI 部署进程，在 MDT 2012 中提供了一个新的监视工具，可以方便我们在控制台内监视 LTI 的进度。
• 部署 Windows Recovery Environment（Windows RE），现在我们可以在 MDT 引导映像中添加 Windows RE。（可参考 gOxiA 之前的日志：[MDT] HOWTO-在 MDT 中启用 Windows Recovery）
• 部署 Microsoft Diagnostics and Recovery Toolkit（DaRT），现在我们可以在 MDT 中集成 MDOP 的经典工具 – DaRT。（可参考 gOxiA 之前的日志：[MDT] HOWTO-在 MDT 中集成 DaRT）
• 支持使用 UEFI（Unified Extensible Firmware Interface）部署计算机，现在越来越多的个人电脑和服务器支持 UEFI，最为常见的就是通过 UEFI+SSD 组合来提升系统的启动速度，而现在我们将能够轻松地利用 MDT 2012 来为 UEFI 的计算机部署操作系统。
• 支持部署 virtual hard disks（VHDs）for native boot，VHD Native Boot 相信关注 gOxiA 日志的朋友不会陌生，在 MDT 2012 中可以轻松地部署 VHD Native Boot 。
• 支持 Windows Thin PC 部署。Windows Thin PC 是一种瘦客户端操作系统，购买 Windows 7 软件保障的用户可以免费获取到它，目前 Windows Thin PC 正被广泛应用到 VDI 中。
• 支持 Windows Embedded POSReady 7 的部署。Windows Embedded POSReady 7 是微软的嵌入式产品，而之前提到的 Windows Thin PC 就是基于 Windows Embedded 构建的。
• 支持向本地添加多个管理员账户，现在 MDT 2012 允许我们为客户端预添加多个管理员账户。
• 部署向导的用户体验改进，MDT 2012 的部署向导界面已被重新设计，并与 SCCM 紧密集成。简化的用户界面相比较 MDT 之前的版本更为高效。此外，新版的 MDT 2012 还包括了其他小功能的增加和对以前 Bug 的修复。

        其他方面的改进如针对 SCCM 的，大家可参考“ What’s New in MDT”。最后了解一下 MDT 对操作系统的支持：

经验分享：因操作系统与TMG网络适配器配置信息未同步引发的网络访问故障

        前段时间在协助一家企业进行 TMG 的评估工作，大致的环境是在位于两个城市的中心机房各部署一套 TMG，并使用 PPTP 实现了 Site-to-Site VPN，从而将两地的 IT 环境相联。但是遇到了一系列的诡异问题，特与大家分享一下。

        初期的测试都是非常顺利的，但是在运行一段时间后，评估环境内的用户反应有某银行的网上银行站点无法访问，通过 Live Log 以及 Network Capture 对一系列访问数据进行分析发现 Live Log 中记录的都是 RST对方银行使用了某种网络优化手段，对子站点实施了线路优化，但是又有违常规，简单说当用户访问“http://www.xxxbank.com”时对应的是一个 IP 地址，但是当通过该站点页面访问二级目录“http://www.xxxbank.com/enterprise”时却会被重定向到另外一个 IP 地址上。

        利用 ping 等命令也做了简单的测试，发现“www.xxxbank.com”是别名解析，对应的是“www.lc.xxxbank.com”，而这个域名会自动识别用户 IP 来重定向到对应的另一个主机域名->网络 IP。这一系列的访问过程却让评估环境下的 TMG 用户出现了无法访问的故障，而这一故障并不是一直会重现，偶尔能够正常访问。当错误发生时在 Live Log 中能看到是因为 RST 相关的错误，此外在 TMG 本机访问银行是没有问题的，如果将客户端配置为 Web Proxy 便能恢复正常。

        而在另外一个城市的 TMG 环境下测试发现均未出现此类的故障。但是两地解析域名所得到的 IP 会有所不同，问题出在了哪里呢？！曾经与银行方面也联系过，未果！后来在微软技术支持工程师的帮助下了解到，TMG 在创建 Site-to-Site VPN 后，会将对端网络中的 DNS 作为本机的主 DNS，那么就会出现 TMG 本机上访问网站时得到的解析结果是 VPN 对端网络里的 DNS Server 给出的，而本地 TMG 后端的用户解析则是本地 DNS Server 给出的，其结果将会得到两个解析数据。

        之后在“路由和远程访问”中对 VPN 拨号连接进行了设置，将 TCP/IP 下的 DNS 手动改为 TMG 本地网中的 DNS Server 地址，随后的一段时间里访问看起来是“正常了”。

        果然，好景不长！评估环境的用户又反应访问某市公安局网站（也实施了线路优化）时无法访问，这次即使为客户端配置 Web Proxy 也无济于事，同时在 TMG 本机测试也无法访问，问题到底出在哪里了呢？！从早期检测到的 RST 未返回数据包到 FIN 三次握手失败等一系列的故障看，TMG 自身一定是存在问题。先后在多个 TMG 环境下对比测试，排除了 TMG 软件设计方面可能存在的不兼容问题，那么就要将注意力集中到这台 TMG 配置上。

        最后发现，在 TMG 网络适配器中，当前外网的网卡默认 IP 与操作系统的外网网卡默认 IP 不同（注：TMG 外网绑定了多个 IP 地址），问题可能就出在这里。当 TMG 访问外部时，可能使用系统配置的 IP 作为宿主，但是客户端访问时却使用了 TMG 配置的 IP，这有可能就是引发 RST 和 FIN 问题的最终原因。随后将两个配置信息重新修改一致后，所有的访问都恢复了正常，之前的故障未在出现！

        但是，引发数据不同步的原因一直不明，回忆之前的部署过程，有过两个管理员同时配置 TMG，而服务器也因为内存问题出现过故障，还导致 TMG 缓存配置与数据库不一致的问题。目前评估工作一直在进行着，最近又接到通知 TMG 在华停止销售，因为销售许可到期，不过听闻也许在五月底就能恢复销售！

        总之，TMG 作为一款受青睐的企业级的网络安全和加速产品，在华业务任重道远……