[VMware] Windows 1903/1909 run VMware Workstation / Workstation Pro error "VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard"

近日當在用Windows 10 1903/1909 在跑VM時會跳出錯誤訊息"VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard"。

那工法稍稍多了點….Orz
不是單單什麼開啟 Windows boot menu Hyper-V auto 或 Hyper-V off之類就可以解決。

<Resolution>

step01. Win + R

step02. cmd.exe

step03. gpedit.msc

step04.
Computer Configuration > Administrative Templates > System > Device Guard > Turn on Virtualization Based Security (Disabled)
電腦設定 > 系統管理範本 > 系統 > Device Guard > 開啟虛擬化安全性 (已停用)

step05.
cmd.exe

step06.
mountvol X: /s

copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y

bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d “DebugTool" /application osloader

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path “\EFI\Microsoft\Boot\SecConfig.efi"

bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:

mountvol X: /d

step06.
bcdedit /set hypervisorlaunchtype off

(註)bcdedit /set hypervisorlaunchtype auto // 日後要用 Hyper-V 執行重開即可。


step07. 重開機記得要緊盯螢幕錯過以下動作還是無法啟動VMware Workstation 唷!!要按下WinKey或F3 才是真的達到關閉。
Virtualization Based Security Opt-out Tool
Do you want to disable Virtualization based security ?
Disabling this functionality changes the security configuration of Windows.
For the correct action in your oragization, contact your administrator before disabling.

** Press the Windows key or F3 to disabled protection . ESC to Skip this step. **


Reference :
0. “VMware Workstation and Device/Credential Guard are not compatible" error in VMware Workstation on Windows 10 host (2146361)
“Error 1402. Could not open key: UNKNOWN" while installing vCenter Server on Windows (1029282)
1. Dixin’s Blog – Run Hyper-V and VMware virtual machines on Windows 10
2. Leo Yeh’s Blog – 解決問題 Windows 10 (2)
3. 程式前沿 – 解決VM 與 Device/Credential Guard 不相容。在禁用 Device/Credential Guard 後,可以執行 VM 的方法
4. 小歐ou | 菜鳥自救會 – 設定開機選項選擇使用 VMWare 或 Hyper-V
5. ITREAD01 – VMware Workstation and Hyper-V are not compatible. 解決方案
6. 每日頭條 – VM與Device/Credential Guard解決方案

[Windows] fix 主機大量 zero window issue

step01. check current config

C:\WINDOWS\system32> netsh interface tcp show global
Querying active state…

TCP Global Parameters

Receive-Side Scaling State : enabled
Receive Window Auto-Tuning Level : normal
Add-On Congestion Control Provider : default
ECN Capability : disabled
RFC 1323 Timestamps : disabled
Initial RTO : 3000
Receive Segment Coalescing State : enabled
Non Sack Rtt Resiliency : disabled
Max SYN Retransmissions : 2
Fast Open : enabled
Fast Open Fallback : enabled
HyStart : enabled
Pacing Profile : off

step02. 把 Receive Window Auto-Tuning Level (接收視窗自動調整層級) 改為 Disabled .
> netsh interface tcp set global autotuninglevel=disabled

**回復預設值**
> netsh interface tcp set global autotuninglevel=normal


> netsh interface tcp set global autotuninglevel=normal

有些江湖傳言說改為 disabled會加快上網變快之類,若不熟悉者還是小心使用。

[VMware] 登入Windows版 vCenter 6.5 vSphere Web Client (Flash-base) 會一直跳出 “發生內部錯誤 – Error #1009″

在客戶升級了5.5U2 > 6.0 > 6.5U2 但居然會出現vCenter 5.5U1 Bug ;但這Bug在5.5U2已修正居然會出現不解啊 ><

情境: 使用 vSphere Web Client (Flash-base) login後會一直跳出 “發生內部錯誤 – Error #1009″ 錯誤訊息。

Workaround :

step01. 進入 C:\programdata\vmware\vCenterServer\data\vSphere Web Client\SerenityDB\

step02. 刪除 serenity 這個整個目錄

delete C:\programdata\vmware\vCenterServer\data\vSphere Web Client\SerenityDB\serenity

step03. 重啟vSphere Web Client服務即可
.\service-control –stop vspherewebclientsvc && .\service-control –start vspherewebclientsvc

step04. 確認服務處於running
.\service-control –status vspherewebclientsvc

Done.


Reference : VMware vSphere Web Client reports an internal error 1009 (2089949)

[Windows] How to determine install source is OEM/Retail/VOL ?

step01. cmd.exe

step02.  > slmgr.vbs /dli


Reference :

1. winaero – Find If Windows 10 License Type is Retail, OEM, or Volume

2. Gdaily – (教學) 查看你的完整 Windows 版本 Retail、VOL、OEM、RTM

3. 天缘博客 – MSDN、OEM、VOL、RETAIL密钥区别

[Windows] How to flush kerberos tickets

有時為了存取Windows 或 NetApp 之類機器檔案伺服器,總是遇到驗證不過。老是叫使用者重開機或登出再登入這有點老套。或是使用者有耐心叫他等個九個小時等票證過期 .(Default kerberos tickets age 9 hours)

換個方式若能像ipconfig /release  或 ipconfig /flushdns 清除快取之類總是時效好一些。

CIFS / SMB在存取檔案伺服器與Windows Active Directory 驗證時是用kerberos。微軟在Vista後的版本都有內建清除kerberos tickets.

[after vistat os]

step01. cmd.exe

step02.klist  // check current 快取的票證有幾個 ; 再者用 klist tgt (票證授予票(ticket-granting ticket))查看詳細票證相關資訊

step03.klist purge

呼叫者登入識別碼: (0x0,0x3E7)
klist -li 0x3e7 purge

klist -lh 0 -li 0x3e7 purge

 

[Window XP & Windows Server 2003]

step01. download Windows Server 2003 Resource Kit Tools

step02. extract or perform ‘rktools.exe’

step03. klist.exe tickets // check current 快取的票證有幾個

step04. klist.exe purge

*補充*
啟用kerberos log
step01. regedit.exe

step02.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

step03.
Entry: LogLevel
Type: REG_DWORD
Default Value: 0 改為 1 (0x1)


Reference :

  1. Microsoft – Kerberos protocol registry entries and KDC configuration keys in Windows
  2. Microsoft – Kerberos Authentication Tools and Settings (事件代碼參考)
  3. Web Debug – Kerberos认证问题的调试试验
  4. Norman Bauer – How to purge Kerberos tickets of the system account
  5. zhulinu的专栏 – Windows登录日志详解
  6. 从kinit到kerberos安全机制
  7. MIRU-CH – How to update group membership without logoff / logon /restart

[Windows] Windows series use ‘netsh’ manual change ip / netmask / dns / gateway

  1. 設定IP
    > netsh interface ip set address “connection name" static 192.168.1.100 255.255.255.0 192.168.1.254
  2. 設定DNS primary / secondary
    netsh interface ip add dns “connection name" 168.95.1.1 index=1
    netsh interface ip add dns “connection name" 168.95.192.1 index=2
  3. 設定DHCP client IP / DNS
    netsh interface ipv4 set address “connection name" dhcp
    netsh interface ipv4 set dnsservers “connection name" dhcp

[Windows] Windows 10 遠端連線 “發生驗證錯誤。不支援要求的功能這可能是因為CredSSP 加密Oracle 補救"

在連線台北RDP Windows 7 時發現我的筆電Windows 10會跳出如下畫面

win10-update

由於我Windows 10已更新了 2018 年 4 月 17 日修補程式 (KB4103721) ,但另一台沒有更新進而所造成這現象.

PS: KB4103721更新內容
————————————————————————————————————————————
* 解決April 2018 Windows服務更新導致App-V腳本(用戶腳本)停止工作的問題。
* 解決在安裝April 2018更新後可能導致某些設備停止響應或使用應用程序(如Cortana或Chrome)時的問題。
* 解決了某些VPN應用程序無法在Windows 10版本1803上運行的問題(應用程序使用Windows 10版本1803之前的SDK版本開發,並使用了公共RasSetEntryProperties API)。
* 解決與更新時區信息有關的問題。
* 解決在連接到遠程桌面服務器時可能導致錯誤的問題,更多信息請參閱CVE-2018-0886
* 對於Windows Server,Microsoft Edge,Internet Explorer,Microsoft腳本引擎,Windows應用程序平台和框架,Windows內核,Microsoft圖形組件,Windows存儲和文件系統,HTML幫助和Windows Hyper-V進行安全更新。有關解決的安全漏洞的詳細信息,請參閱安全更新指南

————————————————————————————————————————————

#Method (Workaround) 己更新 KB 4093120暫解
> gpedit.msc > 電腦設定 > 系統管理範本 > 系統 > 認證委派 > 加密Oracle 補救措施 (已啟用) — 保護層級 (易受攻擊)
#Method (Resolution)
> 未更新 KB 4103721伺服器或電腦更新它吧>< (將上面的workaround關閉)

 


Reference :

  1. CVE-2018-0886 | CredSSP 遠端執行程式碼弱點
  2. MIS的背影 – 利用wmic 查詢電腦安裝了那些更新