Perguntas[windows-server-2019](server)

Herdei um controlador de domínio do Windows Server 2019 em uma rede pequena (aproximadamente 30 computadores clientes) com AD CS instalado. Quero configurar um servidor dedicado para AD CS, pois ter o AD CS no DC é uma prática recomendada e estou planejando usar certificados para autenticação Radius para usuários/computadores.

Estudei o processo de transferência de um CA para outro computador, mas como todos os modelos de certificado estão desconfigurados e o comprimento da chave do certificado raiz é de apenas 2.048 bits, prefiro começar tudo de novo.

Atualmente, o único certificado ainda válido é um certificado de controlador de domínio. O DC sincroniza com o Entra, que acredito exigir o certificado do controlador de domínio.

Questões:

• é aceitável descartar o CA completo neste caso?
• o DC obterá apenas um novo certificado de controlador de domínio ou ele quebrará?
• algum problema com o Entra em relação a isso?

Configurei um compartilhamento de arquivos da conta de armazenamento do Azure (com pontos de extremidade privados) e estou tentando mapear o local da rede para minha máquina virtual (não associada ao domínio) na mesma rede virtual seguindo este artigo da MS .

Estou tentando atribuir esse local de rede quando o usuário faz logon, colocando um arquivo em lote com o código abaixo na pasta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp.

net use z: /delete
net use z: "\\{myaccount}.file.core.windows.net\{myfileshare}"

Ao fazer logon como uma conta de administrador local, ele funciona criando o local de rede, mas quando tento fazer o mesmo em uma conta de usuário, ele falha com o erro 55: O recurso ou dispositivo de rede especificado não está mais disponível.

Presumo que este seja um problema de permissões locais. Qualquer um conhece as permissões corretas para resolver esse problema.

Usando o IIS 10 no Windows Server 2019. Não sou administrador do servidor, sou um desenvolvedor que gerencia sites no servidor alugado.

Eu tenho um relatório que percorre nomes e, por meio de scripts do lado do cliente, acessa um arquivo ajax para verificar se o status da pessoa é válido. Portanto, quando a página for carregada, cerca de 100 chamadas ajax poderão ser executadas. Em alguns servidores, este relatório parece ser concluído perfeitamente (com 100 nomes verificados), mas no servidor atual - após algumas chamadas bem-sucedidas, o restante (como 90% delas) é rejeitado com um erro 403 genérico - 403 Proibido.

Quando executo cada um desses links individuais manualmente, eles carregam perfeitamente. Talvez seja algum tipo de bloqueio de tráfego - quando um número alto (100) de solicitações para o mesmo arquivo (com parâmetros diferentes) é enviado - algumas são bloqueadas? Onde eu poderia verificar isso?

Não tenho certeza se isso está relacionado, mas no caso estranho pode ser - vou mencionar: no Chrome, às vezes, todos os arquivos css/js vinculados no cabeçalho do site são rejeitados com o mesmo erro 403. O que obviamente bagunça o site. no Firefox, não há problema semelhante, mesmo as mesmas páginas exatas.

Obrigado

ATUALIZAÇÃO: Carregando o que parece aparecer no Trace. o substatus de 501 não parece muito revelador?

No servidor Windows, o desempenho do disco não é exibido por padrão no Gerenciador de Tarefas.

Para o Windows 2012R2 (e algumas outras versões), pode ser ativado pelo comando diskperf -y(e reiniciando o Gerenciador de Tarefas).

Isso não funciona no Windows 2019. Existe outra solução?

(todas as soluções na internet que encontrei são para versões mais antigas do servidor Windows)

Eu tenho um sistema operacional Windows Server 2019 (Standard Edition) cuja partição fica sem espaço em alguns dias (C: tem 100 GB no total) travando o sistema operacional. Ele funciona como um controlador de domínio (DC) em uma pequena organização. Você só tem WinRAR, programa antivírus e Acronis True Image Services instalados; atualizações para o sistema operacional não são baixadas. Verifiquei os arquivos temporários e eles estão praticamente vazios; o programa antivírus dificilmente gera arquivos, os logs da Acronis são mínimos. O log de eventos do sistema é bem limitado. O arquivo de paginação está limitado a um máximo de 500 MB. A hibernação está desativada , é claro.

Observação: migrei este DC há vários anos do Windows Server 2003 para o Windows Server 2008 e no ano passado para o Windows Server 2019. Não acho que os objetos do controlador de domínio sejam suficientes para o banco de dados crescer para preencher 100 GB. Resta-me estender a partição C: e aumentar seu espaço livre tirando de outra partição (um único disco rígido instalado).

O que pode estar acontecendo?

Executando o padrão do Windows Server 2019 em um cluster de quatro nós. No visualizador de eventos -> logs do Windows -> Aplicativo existem entradas repetidas.

A mensagem é 'O Windows Installer reconfigurou o produto.' seguido por diferentes aplicações e produtos

Existem centenas dessas mensagens - e não há atraso consistente entre o grupo de entradas.

A maioria das entradas da Microsoft tem a última parte da mensagem lida como 'Sucesso na instalação ou status de erro: 0.'

As perguntas são -

1. Essas entradas deveriam estar lá?
2. Por que eles estão reconfigurando continuamente o software?
3. O que posso fazer para resolver este possível problema?

No DC de uma floresta de AD único, estou conectado como administrador de domínio padrão Administrator(neste caso, também o administrador corporativo). Em um PowerShell elevado, tento obter os tipos de criptografia Kerberos com o seguinte comando (conforme documentado aqui ):

ksetup /getenctypeattr my.example.com

Mas recebo uma mensagem de erro em vez disso:

Query of attributes on MY.EXAMPLE.COM failed with 0xc0000034
Failed /GetEncTypeAttr : 0xc0000034

Em consequência (muito provavelmente), também recebo esse erro ao tentar definir os tipos de criptografia, conforme descrito nesta pergunta , que atualmente não possui uma resposta séria, infelizmente.

Isso acontece no Windows Server 2016 e também no Windows Server 2019, que foram configurados usando principalmente as configurações padrão. Como um simples get pode falhar? O código de erro não parece estar documentado. Alguém sabe como solucionar ou resolver esse problema?

Na GUI ( Snap-in MMC de domínios e relações de confiança do Active Directorydomain.msc ( )), você pode definir a configuração "O outro domínio oferece suporte à criptografia Kerberos AES" para uma relação de confiança:

Estou procurando uma maneira de definir essa configuração programaticamente. Já revisei o Install-ADDSDomaincmdlet do PowerShell e também a netdom TRUSTferramenta, mas ambos não parecem incluir uma opção para definir a configuração de criptografia Kerberos AES .

Alguém pode me dizer, como posso definir essa configuração programaticamente?

Consegui conectar e acessar remotamente um servidor Web IIS usando o serviço WMSVC instalado. No entanto, quaisquer regras adicionar/remover iniciar/parar... etc que eu precise fazer está funcionando bem, mas adicionar um novo site me impede de selecionar uma pasta de caminho. Como devo habilitar isso para poder escolher remotamente um caminho de pasta para o servidor remoto?

Eu tenho uma configuração de floresta multidomínio MS ADDS simples com um domínio pai e um subdomínio. Juntei um servidor RHEL 8 com sucesso ao subdomínio usando esta documentação oficial . Todos os SOs foram configurados usando o máximo possível de padrões. Eu posso SSH com sucesso no servidor RHEL usando uma conta AD do subdomínio. Mas quando tento usar uma conta do domínio pai, o login falha. Assim que envio o nome de usuário do domínio pai, journalctlrelata o seguinte erro:

sssd_be[...]: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (KDC has no support for encryption type)

Verifiquei os DCs de cada domínio e posso confirmar que todos os DCs suportam os mesmos três tipos de criptografia padrão (que são armazenados no msDS-SupportedEncryptionTypesatributo de cada conta de computador DC):

• RC4_HMAC_MD5
• AES128_CTS_HMAC_SHA1_96
• AES256_CTS_HMAC_SHA1_96

Também confirmei que o RHEL 8 oferece tipos de criptografia adequados ( /etc/crypto-policies/back-ends/krb5.config):

[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac

Portanto, deve haver duas correspondências: aes128-cts-hmac-sha1-96e aes256-cts-hmac-sha1-96. Como já disse, está funcionando bem para o subdomínio. Então, por que não há um tipo de criptografia adequado para o domínio pai?