Gregory MOUSSAT's questions

Em um servidor de arquivos, uma pasta base contém as pastas do usuário:

Esta pasta base está protegida contra as ações do usuário (exclusão, renomeação, dump de arquivos, etc), os usuários só podem lê-la e percorrê-la:

Para proteger a pasta raiz de cada usuário, nego explicitamente o direito de excluir sua própria pasta:

Isso implica adicionar um denyem cada pasta.
Fazer isso na pasta base não funciona: denypara o grupo Usersde deletesubpastas, para This foler only--> eles ainda podem excluir sua própria pasta, porque as permissões herdadas (negar para excluir) têm menos precedência do que as permissões explícitas (permitir modificar).

Com meu método, os usuários ainda podem ocultar sua própria pasta raiz. Isso não é um problema, mas mostra que a pasta não está 100% protegida contra ações.

1. eu uso o método "canônico"?
2. como evitar que os usuários ocultem sua própria pasta? Ou qualquer outra coisa irritante
3. alguma sugestão?

Executando QEMU/KVM com monitor:kvm ...some_parameters... -monitor unix:/my_path/my_fifo,server,nowait

Podemos então conectar usando socat - UNIX-CONNECT:/my_path/my_fifocomandos then type.
Fácil e acessível.

Eu gostaria de expor a interface do monitor à rede local (provavelmente usando socat, de acordo com o método de segurança), que é razoavelmente seguro. Como posso proteger o acesso ao monitor?

Não vejo nenhuma opção de senha disponível, certificado, etc. Portanto, suspeito que tenho que confiar em um método externo ao QEMU/KVM.

Em um servidor Windows 2019 equipado com 24 GiB de memória, apenas cerca de 1 GiB é gratuito.
Mas quando eu uso Task Managerou Process Explorer, nenhum processo usa mais do que alguns MiB.

Se eu adicionar a memória usada por cada processo, a soma é de apenas 3 GiB (exporto os dados com o Process Explorer e faço a soma em uma planilha).

Memória total: 24 GiB
Memória usada: 23 GiB
Troca usada: 4 GiB
Soma de cada memória de processo: 3 GiB

Eu soma Private Bytesou Working Set, cada um dá um total em torno de 3 GiB.
Eu sei que esses dois indicadores estão longe de serem ótimos, mas um melhor não está disponível com essas ferramentas. A diferença com a realidade é de quase uma ordem de magnitude!

Como posso ter uma visão melhor do uso da memória?
Uma exibição gráfica como em WinDirStatseria muito bom, mas como esta questão é um incômodo principal com o Windows, duvido que exista algo fácil.

Eu tenho um antigo servidor NEC Express5800/T120d.
Ele estava operando no Windows a uma velocidade razoável do ventilador.
Agora quero usá-lo em casa com o Debian, mas os fãs estão sempre a todo vapor.

A ventoinha da fonte de alimentação está na velocidade máxima. Com o Windows foi tranquilo. Há um cabo de dados entre a placa-mãe e a fonte de alimentação.
As ventoinhas 1 x traseira + 3 x dianteiras também estão a toda velocidade. Com o Windows eles eram relativamente silenciosos.
Nada no console do BIOS e IPMI sobre o controle do ventilador. Apenas a velocidade atual é exibida.

Instalei lm-sensorse fancontrolsem sucesso:

$ sensors-detect
... with YES answer everywhere ...
Driver "coretemp":
  * Chip `Intel digital thermal sensor' (confidence: 9)
Driver "to-be-written":
   * ISA bus, address 0xca2
    Chip `IPMI BMC KCS' (confidence: 8)

Portanto, sensors-detectveja apenas dispositivos inutilizáveis.

Nada mais com pwmconfig:

$ pwmconfig
/usr/sbin/pwmconfig: There are no pwm-capable sensor modules installed

eu instalei freeipmi / freeipmi-tools:

$ ipmi-sensors
...
29 | PSU1 Temp        | Temperature                         | 24.00      | C           | 'OK'
...
32 | FAN1             | Fan                                 | 7936.51    | RPM         | 'OK'
33 | FAN2             | Fan                                 | 933.71     | RPM         | 'At or Above (>=) Upper Non-Critical Threshold'
34 | FAN3             | Fan                                 | 933.71     | RPM         | 'At or Above (>=) Upper Non-Critical Threshold'
35 | FAN4             | Fan                                 | N/A        | RPM         | N/A
36 | AIRVOL1          | OEM Reserved                        | 1.31       | unspecified | 'OK'
37 | AIRVOL2          | OEM Reserved                        | 1.31       | unspecified | 'OK'
...

Mas eu não sei como fazer mais do que apenas olhar para a velocidade do ventilador.
A maioria dos programas IPMI incluídos no freeipmi pede um nome de host e usuário/senha, mas não consigo entender o que digitar.

Eu também tentei upmiutile ipmitoolpacotes sem melhor sucesso. Todos eles me dão o status do ventilador, mas não entendo como configurá-los.

Quando uso sc create "myService" binpath= “C:\Program Files\myService\myService.exe"não tenho como configurar alguns aspectos do serviço. Em particular, a Recoveryguia vista em services.msc(ação na primeira falha, ação na segunda falha, reinicie o serviço após, etc).

Atualmente modifico manualmente esses parâmetros, mas existe um método melhor?
Um comando do PowerShell ou algo assim? O que encontrei sobre o PowerShell não permite muito melhor do que sc.

Eu tenho uma conexão ADSL e uma conexão de backup 4G, cada uma com seu próprio modem/roteador na mesma 192.168.0.0/24sub-rede: 192.168.0.1(ADSL) e 192.168.0.2(4G)
O gateway padrão é 192.168.0.1(ADSL) então o roteador de backup nunca é usado para conexões de saída.

Eu tenho portas TSE/RDP abertas em cada roteador para alcançar vários computadores na rede local.

Com um Windows 2003 antigo e um Windows XP antigo, as conexões de entrada são boas de qualquer roteador: quando me conecto por ADSL ou 4G posso interagir com esses computadores Windows antigos.
Portanto, esses Windows enviam pacotes de volta através do roteador de origem. Este provavelmente não é um comportamento "bom", mas para minha necessidade é muito bom.

Com o Windows 2012, os pacotes são enviados de volta apenas pelo gateway padrão, o que é lógico.
Como dizer ao Windows 2012 para enviar pacotes de volta ao roteador de origem, à la Windows 2003?

Eu pensei que isso fosse chamado de "roteamento de origem", mas parece que essa não é a expressão exata.

Desde cerca de 1 ano, sempre tenho o mesmo erro com os convidados do Windows: em cada reinicialização, o Windows diz que a rede não é identificada. Portanto, a placa de rede é denominada "Ethernet 8" e depois "Ethernet 9" e depois "Ethernet 10" etc.

Os hosts são o Debian Jessie e o Proxmox instalado seguindo o guia oficial muito simples.
Os convidados são o Windows 2012R2 e o Windows 2016 (atualmente não tenho outros sabores).

Tenho o mesmo comportamento:

• com Intel E1000 ou os drivers paravirtualizados (não testei outros)
• com todos os nossos convidados do Windows. Teste, produção, sem exceção
• com convidados instalados há 1 ano e convidados instalados ontem em um novo host

Pesquisei na web e não encontrei nada valioso. Como está me ocorrendo toda vez, ou eu erro, ou é comum. Mas como os motores de busca não me dão nada, desconfio de um erro.

@Michael Hampton: os MACs são fixos, como em todas as máquinas virtuais que conheço. Acabei de verificar no novo convidado e nenhuma alteração nas reinicializações.

Eu sei como abrir automaticamente uma sessão de console quando um host do Windows é inicializado (a maneira recomendada é usar uma senha criptografada: https://docs.microsoft.com/en-us/sysinternals/downloads/autologon ).
Isso é útil quando um servidor executa um programa mal escrito que precisa de uma GUI para ser executado, enquanto deve ser executado como serviços, ou pelo menos em segundo plano.

Uma vez que a sessão é aberta, a tela pode ser bloqueada e o programa continua a funcionar. Um administrador pode até mesmo RDP com outra sessão (isso também bloqueia a sessão do console). Até agora não vi nenhuma exceção a isso.

Este método leva a vários problemas. Alguns dos maiores:

• uma sessão está aberta no console. Qualquer pessoa na frente do servidor tem acesso total a esta sessão, ou qualquer coisa que acerte o teclado/mouse não monitorado pode levar ao desastre. Podemos mitigar isso com um tempo limite de tela curto
• apenas uma sessão pode ser aberta desta forma. Então, quando precisamos disso para 2 programas diferentes e não coabitantes, estamos ferrados

Eu gostaria de abrir várias sessões sem console automaticamente quando o servidor inicializar. Como se várias sessões de área de trabalho remota fossem abertas e desconectadas. Os programas incriminados podem ser executados com uma GUI em sessões separadas.
--> alguma idéia de como conseguir isso?

Eu tenho um servidor Windows 2008.
Este servidor como a função DHCP.
A LAN é 192.168.0.0/23 (de 192.168.0.0 a 192.168.1.255 com máscara de rede 255.255.25 4.0 ).
O DHCP atualmente distribui endereços de 192.168.0.50 a 192.168.0.249 com máscara de rede 255.255.25 4 .0

Quero adicionar mais endereços disponíveis. Endereços gratuitos são de 192.168.1.50 a 192.168.1.219

Como posso distribuir endereços de 2 zonas não contíguas?
Criar 2 "escopos"?
Ou criar um grande escopo, com um buraco no meio?

Eu tentei com um escopo global, mas o Windows recusou o segundo escopo porque o considera sobreposto ao escopo existente (o que não é verdade, mas a máscara de rede provavelmente o confunde).

Uma solução poderia ser criar um escopo grande e fazer muitas reservas para criar o buraco. Mas esta é uma tarefa tediosa e nada inteligente.

Costumo usar o recurso VSS integrado em servidores de arquivos do Windows, para permitir que os usuários restaurem alguns arquivos. Isso também permite que a equipe de TI faça o trabalho rapidamente quando há poucos arquivos envolvidos, que é o problema mais frequente.

Por exemplo, tomo um VSS por hora de trabalho (10 por dia) e os retenho durante 4 semanas (5 dias úteis por semana) --> total = 200 VSS por 4 semanas

Eu gostaria de usar alguma política de retenção "flexível":
Por exemplo, mantendo cada VSS por hora durante 3 dias úteis, depois 4 VSS por dia nos próximos 7 dias úteis, depois 2 VSS por dia durante os próximos 10 dias úteis --> total = 78 VSS por 4 semanas

O espaço ocupado pelo VSS em ambos os casos deve ser semelhante.
Meu objetivo não é economizar espaço. É para estender o número de semanas durante as quais o VSS é mantido. Mas, como o NTFS pode ter no máximo 512 VSS, o VSS por hora não é sustentável por mais de 10 semanas. E este é um número enorme.

Pergunta: você acha que devo escrever um script do PowerShell para gerenciar a política de retenção do VSS? Ou posso usar algo já feito (script ou software)?

Em um servidor Windows 2012 R2 usado como área de trabalho remota, instalamos o Microsoft Office 2013 de 64 bits.

Várias semanas depois, um software de contabilidade foi instalado. Isso exigia o Microsoft Office de 32 bits (testamos com 64 bits: falhou).

Então eu desinstalei a versão de 64 bits e instalei a versão de 32 bits.

Word e Excel funcionam bem.
Mas o Outlook exibe uma mensagem de erro irritante quando iniciado (mas funciona perfeitamente).
A mensagem não é exibida quando o Outlook é executado como administrador (ser administrador não é suficiente, temos que clicar com o botão direito do mouse e pedir para executar como administrador).

• quando alguém executa o Outlook, primeiro temos o retângulo azul usual com "Outlook" escrito no meio
• então imediatamente temos uma pequena janela intitulada "Microsoft Office 64-bit Components 2013" com uma barra de progresso informando "Aguarde enquanto o Windows configura o Microsoft Office 64-bit Components 2013"
• 1 ou 2 segundos depois, um pop-up de erro aparece indicando "Erro 2503: ocorreu um erro interno. Entre em contato com o suporte da Microsoft blá blá"
• clicamos em "Ok"
• imediatamente temos o mesmo pop-up, mas com o erro 2502
• clicamos em "Ok"
• O Outlook agora é executado corretamente, até a próxima vez que o executarmos

Cada vez que alguém executa o Outlook, temos exatamente o mesmo cenário.
As etapas 1 e 2 ocorrem mesmo quando executadas com privilégios de administrador.

Eu desinstalei/reinstalei a versão de 32 bits.
Eu fiz uma instalação de reparo.

Apaguei um vestigal C:\Program Files\Microsoft Office\.
Ele é recriado se executarmos o Outlook com privilégios de administrador.
O erro é o mesmo com ou sem esta pasta. Eu até testei com direitos totais para todos nesta pasta e seu conteúdo.

Alguma ideia para resolver este problema?

Todas as noites eu copio vários discos virtuais com rsync de um computador Linux Debian para outro Linux Debian.
A maioria dos arquivos são imagens brutas com "buracos": algumas partes nunca foram gravadas, portanto, permanecem não alocadas no disco.

rsync trava em um arquivo, sempre o mesmo. O travamento ocorre após 50 Gb transferidos e a cada vez. Não tenho certeza se isso é sempre exatamente no mesmo ponto, mas ls -shexibe 50 Gb.
Este é um arquivo de 800 Gb contendo 151 Gb (portanto, 649 Gb não estão alocados). Alguns outros discos virtuais têm números semelhantes e o rsync funciona bem neles.

Tenho exatamente o mesmo comportamento se usar o rsync para atualizar o arquivo localmente, sem nenhum envolvimento de rede (com --no-whole-file, isso é um requisito, veja mais adiante).

Uma vez que o rsync está parado, ele usa um núcleo de CPU para 100% e zero atividade de disco no lado de recebimento (esta é uma solicitação pull, então o rsync é executado deste lado) e zero CPU e zero disco no lado de envio.
Deixei correr durante várias horas.
Ctrl+ cinterrompe imediatamente o rsync.
Quando executado para copiar localmente, uma vez parado, também tenho um núcleo de CPU para 100% e atividade de disco zero.

A única exceção que encontrei é quando eu rsync este arquivo para um novo local (ou seja, o arquivo de destino não existe). Portanto, suspeito que o problema esteja relacionado à comparação entre dados antigos e novos.

Eu uso --inplacepara limitar as gravações no disco de destino, porque os instantâneos são usados ​​após cada backup. Portanto, esta opção é um requisito e o rsync também, exceto se eu encontrar uma ferramenta capaz de atualizar apenas as partes alteradas desses arquivos.

Eu faço backup de vários discos virtuais (total = cerca de 4 Tb), com várias semanas de tempo de retenção.

Eu uso discos de 4 x 4 TB no computador dedicado ao backup primário. O sistema de arquivos é ZFS RAIDZ2, portanto, 8 Tb utilizáveis.
Um backup secundário de 4 discos de 2 Tb (4 Tb utilizáveis) está em um prédio separado, armazenando o backup do último domingo.

Eu gerencio a retenção fazendo instantâneos: após cada backup, um instantâneo é criado no sistema de arquivos de backup primário. E os instantâneos com mais de 90 dias são excluídos. A quantidade de dados modificados é inferior a 4 Tb por 90 dias, então está tudo bem (na verdade, tenho 30 últimos dias + 9 semanas anteriores + 10 meses anteriores, mas esse não é o ponto).

No backup secundário, tenho apenas um backup. Eu pretendo implementar a retenção também.
Primeiro pensei em atualizar para discos de 4 x 4 Tb (por falta de espaço, não posso atualizar para 6 x 2 Tb) e fazer instantâneos como no backup primário.

Em vez de atualizar o hardware, e se eu usar compactação ZFS + instantâneos no backup secundário?
A compactação levará a, digamos, 600 Gb livres. Em seguida, os instantâneos darão retenção de vários dias.

Os discos virtuais salvos são atualizados com rsync, portanto, apenas pequenas partes são modificadas. Portanto, acho que apenas pequenas partes são "transmitidas" para instantâneos. Mas não encontro nenhuma fonte confirmando que isso funcionará como penso.

Pergunta: usando o ZFS no Linux com compactação, arquivos muito grandes com modificações dispersas serão capturados com eficiência?

Alguns de nossos usuários fazem algum gerenciamento básico de seus computadores Windows.
Suas contas são de usuários regulares e eles têm um administrador local para executar o que quiserem: instalar algum tipo de lixo eletrônico, destruir configurações de impressora, permitir que vírus se instalem, etc. lenda urbana).
 

Caso 1

• um computador Windows em um grupo de trabalho
• apenas um administrador local, chamado "local_admin"

Quando um usuário comum precisa inserir uma credencial de administrador, o pop-up é preenchido com "local_admin" e o usuário só precisa inserir a senha.

➞ perfeito
 

Caso 2

• um computador Windows em um grupo de trabalho
• um administrador local chamado "local_admin 1"
• um administrador local chamado "local_admin 2"

Quando um usuário regular precisa inserir uma credencial de administrador, o pop-up está vazio e o usuário deve inserir o "local_admin x" e a senha.

➞ como podemos pré-preencher com "local_admin 1"?  

Caso 3 (o que temos)

• um computador Windows em um domínio chamado "company_domain"
• o nome do computador é "local_name"
• apenas um administrador local, chamado "local_admin" (mas acho que é exatamente a mesma coisa se forem vários)

Quando um usuário regular precisa inserir uma credencial de administrador, o pop-up está vazio, MAS o domínio é pré-preenchido com "company_domain". Portanto, o usuário deve inserir o usuário "local_name\local_admin" e a senha, o que não é conveniente porque eles precisam lembrar/anotar na maioria das vezes junto com a senha em um Post-it.

➞ como preencher previamente o nome do computador local no lugar do nome de domínio ou preencher previamente o nome completo do administrador local "local_name\local_admin"?

No momento, criamos um admin_name do Active Directory para cada um desses usuários e, em seguida, configuramos o computador para colocar esse admin_name no grupo de administração local (podemos, alternativamente, fazer isso no Active Directory).
Este método é propenso a erros e, em seguida, leva a vazamentos problemáticos de privilégios de administrador.

Estou com um problema com o driver da impressora KONICA MINOLTA 224e para Windows 7 pro 64 bits.

Quando um usuário altera as configurações da impressora no painel de controle, por exemplo, alternando de colorida para monocromática, as configurações voltam aos padrões quando reabrimos as configurações da impressora.

O problema é apenas com este driver. Drivers de outras KONICA e outras marcas não apresentam o problema.
O problema é para todos os nossos Windows 7. Não com Windows XP 32 bits / 8.1 64 bits / 2012 R2.
Temos apenas o Windows 7 pro em 64 bits, então não sei se 32 bits têm o mesmo problema.
Nossos Windows 7 são de origens diferentes: alguns são instalados manualmente e a maioria foi pré-instalada pela HP/Lenovo/qualquer coisa.

Eu uso o driver oficial, versão mais recente do site oficial da KONICA.

O problema ocorre para usuários e administradores regulares.

Solução temporária: selecione outro driver para esta impressora e volte para o driver correto. As configurações agora podem ser modificadas até a reinicialização (logoff+login está ok. Apenas a reinicialização é redefinida para o comportamento indesejado). Logo após a reinicialização, os valores do registro estão ok, mas voltam aos padrões assim que usamos a impressora ou abrimos as configurações.

Mesmo gravando os valores desejados no registro para HKEY_CURRENT_USER\Printers\DevModes2\xx_Printer_Name_xxnão forçar as configurações, porque assim que usamos a impressora ou abrimos as configurações, tudo volta aos valores padrão.
Portanto, acho que outro valor no registro deve ser gravado, mas não sei qual.

Minhas pesquisas no Google não retornaram nada relacionado ao meu problema.

Alguém tem sugestões?

Usamos WebDAV para compartilhar calendários do Outlook.

Configurei um servidor WebDAV com IIS no Windows 2012 R2. Funciona bem.
Este Windows 2012 R2 está na rede local e pertence a um domínio do Active Directory. Todos os clientes também estão na rede local e pertencem ao mesmo domínio.
O site IIS do WebDAV usa apenas "autenticação do Windows", que é a configuração recomendada.

Quando um usuário de domínio acessa um compartilhamento WebDAV pela primeira vez, ele precisa aguardar cerca de 5 segundos antes de ser solicitado a inserir as credenciais. O usuário então digita seu usuário/senha de domínio e o acesso é concedido.
As credenciais do WebDAV são armazenadas no cache de credenciais do Windows (você pode ver/modificar com rundll32.exe keymgr.dll,KRShowKeyMgr).

Se o usuário então alterar a senha de seu domínio, o acesso ao compartilhamento WebDAV não funcionará mais, pois as credenciais utilizadas são as antigas armazenadas no cache.

Esse comportamento é visto ao usar o WebDAV do Outlook e do explorer.
Atualmente, precisamos apenas resolver o problema do Outlook.

Pergunta: Como fazer o Outlook usar as credenciais do usuário logado no momento, em vez de pedir para digitá-las? Assim, quando o usuário alterar sua senha, tudo ainda funcionará.

Atualização: em um computador cliente, coloco explicitamente o compartilhamento WebDAV na zona de intranet do Internet Explorer. Também configurei explicitamente o Internet Explorer para usar as credenciais do usuário atual (essa não é a configuração padrão). Mas nenhuma melhora.

Em novas instalações do Debian Jessie, depois de definir um endereço IP estático, o cliente DHCP ainda está ativo. Ele ainda volta para o endereço IP dhcp quando a concessão é renovada.

passo 1: eu modifico /etc/network/interfaces:

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto eth0
allow-hotplug eth0
iface eth0 inet static
        address   192.168.0.8
        netmask   255.255.255.0
        network   192.168.0.0
        broadcast 192.168.0.255
        gateway   192.168.0.5

passo 2: reinicio a rede systemctl restart networking.service(sem mensagem de erro)

passo 3: verifique se o dhclient está rodando: ps x | grep [d]hclient
-->dhclient -v -pf /run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases eth0

Se eu reiniciar, o dhclient ainda será iniciado.
Eu tenho esse comportamento em todos os Debian Jessie que instalo com endereço IP estático.

Não encontro onde o dhclient foi iniciado: finde grepnão encontrei nada /etce /usr/lib
não estou acostumado com o systemd, e não entendo que o dhclient seja iniciado pelo systemd ou não.

Os processos em execução são (removi minha sessão Bash):

/sbin/init
/lib/systemd/systemd-udevd
/lib/systemd/systemd-journald
/usr/sbin/cron -f
/usr/sbin/atd -f
/lib/systemd/systemd-logind
/usr/bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation
/usr/sbin/rsyslogd -n
/usr/sbin/acpid
/bin/login --
/usr/sbin/exim4 -bd -q30m
dhclient -v -pf /run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases eth0
/usr/sbin/sshd -D
/usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 108:113

Pergunta 1: como o dhclient é iniciado?
Pergunta 2: qual é a maneira "oficial" de impedir que ele seja executado? (exceto com apt-get remove/purge)

Todos os nossos computadores Windows 8.1 de repente recusam conexões de Área de Trabalho Remota.

O problema é quando nos conectamos ao Windows 8.1
Não temos o problema ao conectar a outras versões do Windows.

edit: problema resolvido com a atualização KB2962806 da Microsoft. Obrigado a Bertrand SCHITS por sua resposta.

O que encontramos até agora:

• sempre podemos nos conectar como um usuário local. O problema é apenas para usuários do domínio (admin e regular)
• podemos nos conectar com versões antigas do mstsc.exe. Por exemplo, podemos nos conectar de computadores com Windows 2003 e 2003 R2. Não podemos nos conectar do Windows 7, Windows 8.1 e Windows 2012 R2.
  Se copiarmos o antigo mstsc.exe (versão 5.2.xxxx) do Windows 2003 para um computador mais novo, podemos conectar
• se nos conectarmos a partir de uma versão antiga do mstsc.exe (conforme indicado acima), durante alguns minutos podemos nos conectar a partir de qualquer versão que desejarmos. Devemos usar a versão antiga novamente após um período de tempo aleatório (de 30 segundos até várias horas)
• com as versões recentes do mstsc.exe, às vezes não conseguimos conectar alguns usuários, mas isso funciona com outros usuários. Esse comportamento desaparece assim que usamos uma versão antiga e pode reaparecer 2 dias depois
• (graças à resposta de Warren) se adicionarmos manualmente enablecredsspsupport:i:0no arquivo .rdp, as credenciais não serão solicitadas antes da conexão (portanto, o comportamento é o mesmo dos clientes antigos) e podemos nos conectar com qualquer versão do cliente. Mas não podemos nos conectar automaticamente, e o processo de login envolve a cada vez escolher fazer logon como outro usuário (mesmo que seja o mesmo usuário)
• (graças a Pathum Anjana) aplicamos a atualização opcional KB2830477 em ambos os lados das conexões

O que testamos:

• testamos de rede local para local e de distante para local. Nenhuma diferença
• desativamos o firewall
• testamos a desativação de todos os recursos de segurança com gpedit.mscComputer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security
• ativamos a auditoria de eventos de logon e nada nos logs. Nada óbvio em outros logs (como habilitar os logs do protocolo RDP?)
• testamos em um computador localizado em outra rede (os domínios não são relacionados), que possui apenas o 7-zip instalado. Nenhum driver de impressora, nenhuma política de grupo, nada mais. É apenas um novo Windows 8.1 atualizado. Temos exatamente o mesmo problema
• perguntamos ao Google e ele disse "eu realmente não sei". Ele agora nos direciona para esta página, que é uma resposta muito boa, mas não muito útil
• removemos todas as atualizações até 25 de fevereiro (vários dias antes do problema ocorrer). Nenhuma melhoria, então o problema pode ser uma configuração existente definida para um valor diferente por uma atualização recente (e não revertida quando a atualização é removida, o que provavelmente é o comportamento usual)

Quando não conseguimos conectar, a mensagem de erro é exatamente a mesma que recebemos com uma senha errada (mas sem entrada no log de segurança):

• todo computador tem licenças válidas
• usamos MSE como antivírus
• alguns Windows 8.1 são pré-instalados pelo fabricante (Lenovo), enquanto outros são instalados por nós. O único fator comum que vejo é o fato de gerenciarmos todos eles

Alguma ideia sobre o que podemos fazer para solucionar isso?

Eu procuro uma maneira de impedir o acesso à rede de dispositivos que não pertençam ao nosso domínio corporativo do Active Directory.

Algumas pessoas conectam seus laptops pessoais à nossa rede corporativa e algumas delas causam problemas sem querer.

Eu já uso uma política DHCP para dar a eles um nome DNS separado (aliens.contoso.com), permitindo-me ver rapidamente se tal dispositivo está conectado (basta dar uma olhada no console DNS). Essa política é ativada quando o cliente não pertence ao nosso domínio contoso.com.
O problema com esse método é: o laptop indesejado tem configurações de IP perfeitamente corretas, para que o usuário possa usá-lo.
Isso permite apenas ter um nome DNS separado. Não consigo especificar um roteador diferente ou um endereço IP inutilizável.

Gostaríamos de atribuir configurações de IP inutilizáveis ​​a esses laptops. Portanto, os usuários não o usarão ou nos telefonarão. Isso nos permitirá garantir que o laptop esteja limpo e fornecer instruções aos usuários.

É claro que eles podem inserir manualmente as configurações corretas, mas poucos de nossos usuários podem fazer isso, e isso reduzirá consideravelmente os problemas.
Não pretendo impor o acesso à rede com 802.1X. Eu sei que o método DHCP é mais fraco.

Acho que podemos fazer isso com o Network Protection Server (usamos o Windows 2012 R2 para o nosso servidor), mas não entendi como.

Preciso executar várias ações para algumas mensagens de log. Por exemplo, quero registrá-los em arquivos diferentes de acordo com a gravidade.

Está tudo bem se eu usar isso:

if $programname == 'myprog'                                       then -/var/log/myprog.log
if $programname == 'myprog' and $syslogseverity-text >= 'warning' then -/var/log/myprog-alert.log
if $programname == 'myprog' ~

Este log todas as mensagens emitidas por 'myprog' para /var/log/myprog.log
Este log apenas aviso e mensagem de erro emitida por 'myprog' para -/var/log/myprog-alert.log
E o processamento é então interrompido (obrigado para '~')

.

Eu gosto de ter algo mais sexy:

if $programname == 'myprog' then {
    *.*         -/var/log/myprog.log
    *.warning   -/var/log/myprog-alert.log
    ~
}

Mas essa construção posterior, embora aceita pelo rsyslog, não é filtrada pelo nome do programa.
Por exemplo, todas as mensagens são gravadas em /var/log/myprog.log, mesmo quando originadas de qualquer processo.

.

Alguém pode explicar onde está o meu erro ou mal-entendido?

.

Método final, das respostas abaixo:

use um rsyslogd "moderno". Versão > 7.xy
use esta sintaxe:

if $programname == 'myprog' then {
    *.warning   -/var/log/myprog-alert.log
    *.*         -/var/log/myprog.log
    *.*         stop
}

ou este:

if $programname == 'myprog' then {
    *.warning   -/var/log/myprog-alert.log
                -/var/log/myprog.log
                stop
}