oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а

Browse Source 
Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
dttb
2026-05-28 21:56:35 +03:00
parent e994661bd7
commit bf565f1392
269 changed files with 9466 additions and 74 deletions
Download Patch File Download Diff File Expand all files Collapse all files

72
decisions/2026-05-28-mmfb-effector-saver-locked-admin.md Normal file
View File

@@ -0,0 +1,72 @@
---
title: MMFB — Effector Saver Agent не стартует, .\Администратор залочен
date: 2026-05-28
tags: [mmfb, lionart, effector-saver, windows-service, decision]
status: resolved
---
# MMFB / LionART 1C — Effector Saver Agent не стартует, `.\Администратор` залочен
## Контекст
[[../projects/mmfb/lionart-1c|VM 100 pve LionART]] (`WIN-70M2VEJIKEF`, 10.253.1.240, Win Server 2022). Служба `efsaveragent` (Effector Saver Agent, `C:\Program Files\Effector Saver\fagent.exe`) в Stopped/Auto, не стартует.
## Диагноз
Цепочка Event Log → SCM:
```
7038 Службе "efsaveragent" не удалось войти в систему с именем ".\Администратор"
и текущим паролем, поскольку произошла ошибка
7000 Сбой при запуске службы "Effector Saver Agent"
```
Это повторялось каждую минуту в течение последних минут. SCM хранит пароль учётки отдельно от LSA — пароль `.\Администратор` менялся (или Effector ставили со старой парой), а SCM-секрет не обновили.
Дополнительно: попытки SCM × мои WinRM-пробы залочили учётку.
```powershell
# Через LogonUser API:
LogonUser SERVICE : False (err=1909) # ERROR_ACCOUNT_LOCKED_OUT
LogonUser INTERACTIVE : False (err=1909)
LogonUser NETWORK : False (err=1909)
# Через ADSI:
$u = [ADSI]"WinNT://./Администратор,user"
$u.IsAccountLocked True
$u.BadPasswordAttempts 10
```
## Решение (порядок важен)
```powershell
# 1. Заглушить SCM, чтобы он перестал каждую минуту ломиться с неверным паролем
sc.exe config efsaveragent start= disabled
sc.exe stop efsaveragent
# 2. Разблокировать учётку (Set-LocalUser не имеет lockout-поля → через ADSI)
$u = [ADSI]"WinNT://./Администратор,user"
$u.IsAccountLocked = 0
$u.SetInfo()
# 3. Проверить пароль через LogonUser(LOGON32_LOGON_SERVICE=5) — тот же путь, что использует SCM.
# Если False — не пиши пароль в SCM, иначе сразу опять залочишь.
# Если True — пароль валидный, прошиваем:
sc.exe config efsaveragent obj= ".\Администратор" password= "<актуальный_пароль>"
sc.exe config efsaveragent start= auto
sc.exe start efsaveragent
```
После старта:
- `efsaveragent` в Running, PID 9104, fagent.exe, 28 MB
- Новых 7038/7000 — нет
- Аккаунт остаётся разлоченным
## Уроки
- При **7038** не паникуй с lockout: сначала **остановить службу** (или переключить на disabled), потом разблокировать.
- При WinRM-failed-login проверяй lockout первым делом (через `[ADSI]"WinNT://./<user>,user"` поле `IsAccountLocked`) — не подбирай пароль вслепую, иначе добиваешь счётчик.
- `Set-LocalUser` не умеет снимать lockout — только ADSI или `net user`-с-новым-паролем.
- Не доверяй `BadPasswordAttempts: 0` после разблока — этот счётчик не сразу обнуляется; смотри сам `IsAccountLocked`.
## Открытые вопросы
- Почему пароль `Администратор` в SCM разошёлся с фактом — не выяснено. `PasswordLastSet = 06.05.2024`, установка Effector Saver — 16.02.2025. Возможно, инсталлер прописал тестовый пароль, или пароль менялся без обновления службы.
- Стоит ли увести `efsaveragent` на отдельную сервисную учётку без password-expiry (например, `.\Effector Saver`, которая уже имеет `SeServiceLogonRight`) — выяснить, что Effector Saver кладёт по сети: если UNC с админ-кредами, миграция нетривиальна.