the-wabbit's questions

Fui incumbido de delegar uma série de tarefas quotidianas do nosso domínio a um grupo de técnicos que não tem Domain Adminsfiliação. Uma dessas tarefas é a criação de novas raízes Dfs baseadas em domínio (Server 2008 R2 Enterprise DCs). E é aqui que estou preso.

O c0de

Isso é basicamente apenas tentar criar uma raiz Dfs baseada em domínio, usando um controlador de domínio arbitrário (primeiro na lista) como o primeiro servidor de namespace:

$DfsnRootName="test"
$DCList = Get-ADDomainController -Filter * | ForEach-Object { ,$_.HostName } 
New-DfsnRoot -Path "\\domain.contoso.com\$DfsnRootName" -TargetPath "\\$($DCList[0])\$dfsnRootName" `
             -Description "Dfs-Root für $DfsnRootName" -EnableAccessBasedEnumeration $true -Type DomainV2
$DCList | ForEach-Object {
    New-DfsnRootTarget -Path "\\domain.contoso.com\$DfsnRootName" `
                       -TargetPath "\\$_\$dfsnRootName" -State Online
}

Teh err0r

O código acima está lançando uma exceção mencionando a falta de acesso a um recurso CIM. O caminho ROOT\Microsoft\Windows\DFSN\MSFT_DFSNamespacefornecido em CategoryInfo se parece com um caminho WMI:

New-DfsnRoot : Access to a CIM resource was not available to the client.
At line:1 char:1
+ New-DfsnRoot -Path "\\domain.contoso.com\$DfsnRootName" -TargetPath "\\$($DCList ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (MSFT_DFSNamespace:ROOT\Microsoft\...FT_DFSNamespace) [New-DfsnRoot], CimException
    + FullyQualifiedErrorId : MI RESULT 2,New-DfsnRoot


PS Z:\> $Error[0].CategoryInfo


Category   : PermissionDenied
Activity   : New-DfsnRoot
Reason     : CimException
TargetName : MSFT_DFSNamespace
TargetType : ROOT\Microsoft\Windows\DFSN\MSFT_DFSNamespace

As tentativas inúteis de resolução:

Eu tenho "permissões de gerenciamento delegado" por meio do console Dfs para todo o domínio:

que é efetivamente apenas adicionar uma ACE de "controle total" para o principal adicionado ao CN=Dfs-Configuration,CN=Systemcontêiner do AD.

E como eu estava recebendo um erro indicando permissões ausentes no Service Control Manager usando o assistente "Add Dfs root"dfsmgmt.msc em , usei sc sdset scmanagerpara manipular a string SDDL adicionando o respectivo grupo com permissões "KA" (key access), análogo ao BUILTIN\AdministratorsACE que existe por padrão.

Dessa forma, posso usar o assistente "Adicionar raiz Dfs" para percorrer todas as etapas, mas a criação da raiz em si ainda está falhando - "O servidor de namespace \ADSRV0\Test não pode ser adicionado. Acesso negado"

W00t?

Desejo executar um Set-ACLem um objeto AD DS ¹ com "Administradores de domínio" definidos como o proprietário em meu objeto ACL construído. O código se parece basicamente com este ² :

Function SetDSAcl {
       Param (
        [Microsoft.ActiveDirectory.Management.ADObject]$targetObject   # target object
    )

    $targetACL = Get-Acl "AD:\$($targetObject.DistinguishedName)"
    # [some voodoo to get the values for my new ACE]
    # Create a new AccessRule using the object constructor
    # $newAce = New-Object System.DirectoryServices.ActiveDirectoryAccessRule([...])

    # Add the generated ACE to target's ACL
    $targetAcl.AddAccessRule($newAce)

    # Persist the changed ACL to the object
    Set-ACL -AclObject $targetAcl "AD:\$($targetObject.DistinguishedName)"
}

Mas a chamada Set-ACL retorna este erro quando o código é executado em um Server 2008 R2 DC (Powershell v5):

Set-ACL : This security ID may not be assigned as the owner of this object

ou uma exceção de "Acesso negado" mais genérica ao usar a mesma entidade de segurança para executá-la em uma estação de gerenciamento do Server 2012 R2 (Powershell v4):

Set-ACL : Access is denied

Eu nem estou mudando o proprietário neste caso particular, mas aparentemente Set-ACL simplesmente está reescrevendo todo o descritor de segurança.

"Modificar permissões" e "Modificar proprietário" foram definidos explicitamente no objeto de destino e sou perfeitamente capaz de alterar o proprietário desse mesmo objeto usando a GUI gpmc.msc para qualquer coisa que eu queira no DC e na estação de gerenciamento, então não é um problema de permissão óbvio. Por outro lado, também vejo que o código está funcionando assim que é executado por um usuário membro do grupo Admins. do Domínio .

A conta que estou usando não possui deliberadamente a associação "Administradores do domínio" (em vez disso, é um membro do grupo "BUILTIN\Administradores do servidor"), mas precisa ser capaz de definir livremente o proprietário do objeto. Vejo que o artigo do MSDN que cobre esta mensagem de erro está sugerindo "saber quais usuários e grupos você tem o direito de atribuir como proprietário" , o que não é útil no meu caso.

Então, o que estou fazendo de errado?

¹ um GPO no meu caso, mas o tipo de objeto não importa tanto, também já vi isso acontecendo para OUs, por exemplo.

² A Set-Acl -AclObject $targetAcl -Path "AD:\$($targetObject.DistinguishedName)"chamada parece um hack e realmente é. Não posso simplesmente passar como esperado -InputObject $targetObjectpara um tipo de objeto que implementa o método, o que [Microsoft.ActiveDirectory.Management.ADObject] não está fazendo por algum motivo misterioso.Set-ACLInputObjectSetSecurityDescriptor

Portanto, temos algumas instalações do Glassfish 3 flutuando e nenhum Suporte Premium para elas. A Oracle lançou uma notificação de Atualização de Patch Crítico e o CVE-2016-5519 sobre as mesmas vulnerabilidades no Glassfish foi publicado ao mesmo tempo.

Como posso ver que as atualizações críticas de patches estão disponíveis apenas para clientes de suporte da Oracle e estou tendo dificuldades para entender o status atual de desenvolvimento do Glassfish, surgem algumas perguntas:

1. Existe um cronograma para o projeto de código aberto Glassfish lançar uma nova versão do Glassfish 3 incorporando as correções relevantes?
2. Alguém já expressou ^uma opinião sobre se o Glassfish 4.0/4.1 seria afetado? A Oracle anunciou que não oferece suporte comercial para as versões do Glasfish além da versão 3, portanto, não ter as versões 4.x listadas no anúncio da Oracle (ou no CVE) não significa que sejam seguras
3. este é o momento de instar nossos fornecedores a eliminar gradualmente o Glassfish e substituí-lo por algo em manutenção ativa? Em caso afirmativo, quais são as preocupações que posso trazer aqui e o que posso razoavelmente pedir aos fornecedores?

¹ qualquer pessoa com autoridade para fazê-lo, obviamente

Eu tenho um cenário de migração com um serviço de arquivo Failover Cluster onde gostaria de adicionar o alias para o antigo nome do servidor de arquivos apontando para o nome do ponto de acesso do cliente do serviço de cluster.

Usar CNAMEs ou A-RRs com DNS e criar pontos de acesso do cliente para o cluster é bastante fácil, mas meu problema é que o Cluster Manager está permitindo apenas nomes CAP de rótulo único e parece estar apenas anexando o sufixo DNS primário ao nome .

Portanto, dado um serviço de arquivo obsoleto chamado \\oldserver.olddomain.example.come um CAP de cluster denominado oldserver, os nomes aos quais o CAP de cluster responderá serão \\oldserver.clusterdomain.example.come \\oldserver. Não consigo responder em \\oldserver.olddomain.example.com, está lançando 0x80004005 (erro não especificado) nas minhas tentativas de acesso.

O rastreamento de pacote está mostrando uma resposta SMB2 IoCtl compactada com STATUS_ACCESS_DENIED do endereço IP do CAP depois que meu cliente estabeleceu uma conexão de árvore e enviou a solicitação FSCTL_VALIDATE_NEGOTIATE_INFO .

A postagem do blog "Como configurar um alias para um compartilhamento SMB em cluster" sugere a configuração de um alias usando `Set-ClusterParameter. Infelizmente, ele não está aceitando FQDNs com erros como "O formato do nome de rede especificado é inválido"

Eu também já registrei SPNs para oldserver.olddomain.example.come oldserverpara a conta do computador de domínio do CAP, então o Kerberos não deve ser um problema.

Editar: adicionar DisableStrictNameChecking ao registro dos nós do cluster infelizmente também não ajuda.

Eu tenho um cluster de serviço de arquivo em que um dos recursos do servidor de arquivos está hospedando ~ 50.000 diretórios iniciais do usuário. Os diretórios pessoais têm um modelo de cota atribuído por meio do FSRM .

Ao tentar adicionar um novo compartilhamento usando o assistente "Adicionar compartilhamento de arquivo" do Failover Cluster Manager , ele começa recuperando todas as cotas em todas as pastas compartilhadas sobre todos os recursos de cluster de servidor de arquivos definidos. O que está demorando cerca de 10 minutos neste ambiente.

Como eu poderia

• acelerar o processo de enumeração de cotas
• limitar o processo de enumeração de cota a apenas um único recurso de cluster de servidor de arquivos
• desabilitar completamente a enumeração de cota para o Assistente de Novo Compartilhamento

?

Estou tentando obter alguns resultados sensatos do recurso de desduplicação do Server 2012 R2 e falhando repetidamente. Eu tenho dois volumes grandes (4 + 2 TB) expostos como D: e E: respectivamente. Os volumes são atribuídos como armazenamento de cluster para dois recursos de cluster de servidor de arquivos diferentes (não sei se isso muda alguma coisa) e os discos estão online na máquina que estou tentando habilitar deduplicação.

Enable-DedupVolume D:
Enable-DedupVolume E:
Set-DedupVolume -Volume D: -MinimumFileAgeDays 0
Set-DedupVolume -Volume E: -MinimumFileAgeDays 0
Start-DedupJob D: -Type Optimization
Start-DedupJob E: -Type Optimization

Após alguns minutos, ambos os trabalhos de otimização são concluídos. Enquanto isso, há alguma carga de leitura de disco para ambos os discos. No final, os eventos que estou obtendo no log de desduplicação indicam que nada foi desduplicado:

Log Name:      Microsoft-Windows-Deduplication/Operational
Source:        Microsoft-Windows-Deduplication
Date:          12/2/2015 11:36:02 AM
Event ID:      6153
Task Category: None
Level:         Information
Keywords:      
User:          SYSTEM
Computer:      wss-01.example.com
Description:
Optimization job has completed.

Volume: D: (\\?\Volume{73180747-4bf5-4292-86fd-8e8fc4d076c4}\)
Error code: 0x0
Error message: 
Savings rate: 0
Saved space: 0
Volume used space: 2867461320704
Volume free space: 1530452017152
Optimized file count: 0
In-policy file count: 0
Job processed space (bytes): 0
Job elapsed time (seconds): 37
Job throughput (MB/second): 0

Log Name:      Microsoft-Windows-Deduplication/Operational
Source:        Microsoft-Windows-Deduplication
Date:          12/2/2015 11:38:26 AM
Event ID:      6153
Task Category: None
Level:         Information
Keywords:      
User:          SYSTEM
Computer:      wss-01.example.com
Description:
Optimization job has completed.

Volume: E: (\\?\Volume{a3f85da5-283e-4ed4-81c0-2c0fd163b1c3}\)
Error code: 0x0
Error message: 
Savings rate: 0
Saved space: 0
Volume used space: 2068610711552
Volume free space: 130142007296
Optimized file count: 0
In-policy file count: 0
Job processed space (bytes): 0
Job elapsed time (seconds): 686
Job throughput (MB/second): 0

Os volumes de dados são bem preenchidos - D: são principalmente imagens ISO e instaladores de diferentes tipos, enquanto E: são dados típicos da casa do usuário, então eu esperaria alguma economia (pelo menos mais de 0) para mostrar. A invocação de Update-DedupStatusqualquer um dos volumes não está fazendo muito. O get-dedupstatusresultado indica que nenhum arquivo é considerado "na política" para desduplicação:

PS C:\> get-dedupstatus | select-object -Property *


ObjectId                           : \\?\Volume{a3f85da5-283e-4ed4-81c0-2c0fd163b1c3}\
Capacity                           : 2198752718848
FreeSpace                          : 130142007296
InPolicyFilesCount                 : 0
InPolicyFilesSize                  : 0
LastGarbageCollectionResult        :
LastGarbageCollectionResultMessage :
LastGarbageCollectionTime          :
LastOptimizationResult             : 0
LastOptimizationResultMessage      : The operation completed successfully.
LastOptimizationTime               : 12/2/2015 11:45:10 AM
LastScrubbingResult                :
LastScrubbingResultMessage         :
LastScrubbingTime                  :
OptimizedFilesCount                : 0
OptimizedFilesSavingsRate          : 0
OptimizedFilesSize                 : 0
SavedSpace                         : 0
SavingsRate                        : 0
UnoptimizedSize                    : 2068610711552
UsedSpace                          : 2068610711552
Volume                             : E:
VolumeId                           : \\?\Volume{a3f85da5-283e-4ed4-81c0-2c0fd163b1c3}\
PSComputerName                     :
CimClass                           : ROOT/Microsoft/Windows/Deduplication:MSFT_DedupVolumeStatus
CimInstanceProperties              : {Capacity, FreeSpace, InPolicyFilesCount, InPolicyFilesSize...}
CimSystemProperties                : Microsoft.Management.Infrastructure.CimSystemProperties

ObjectId                           : \\?\Volume{73180747-4bf5-4292-86fd-8e8fc4d076c4}\
Capacity                           : 4397913337856
FreeSpace                          : 1530452013056
InPolicyFilesCount                 : 0
InPolicyFilesSize                  : 0
LastGarbageCollectionResult        : 5657346
LastGarbageCollectionResultMessage : There are no actions associated with this job.
LastGarbageCollectionTime          : 12/2/2015 11:58:12 AM
LastOptimizationResult             : 0
LastOptimizationResultMessage      : The operation completed successfully.
LastOptimizationTime               : 12/2/2015 11:45:10 AM
LastScrubbingResult                : 0
LastScrubbingResultMessage         : The operation completed successfully.
LastScrubbingTime                  : 11/28/2015 3:45:07 AM
OptimizedFilesCount                : 0
OptimizedFilesSavingsRate          : 0
OptimizedFilesSize                 : 0
SavedSpace                         : 0
SavingsRate                        : 0
UnoptimizedSize                    : 2867461324800
UsedSpace                          : 2867461324800
Volume                             : D:
VolumeId                           : \\?\Volume{73180747-4bf5-4292-86fd-8e8fc4d076c4}\
PSComputerName                     :
CimClass                           : ROOT/Microsoft/Windows/Deduplication:MSFT_DedupVolumeStatus
CimInstanceProperties              : {Capacity, FreeSpace, InPolicyFilesCount, InPolicyFilesSize...}
CimSystemProperties                : Microsoft.Management.Infrastructure.CimSystemProperties

e a configuração está praticamente em suas configurações padrão:

PS C:\> get-dedupvolume | select-object -Property *


ObjectId                 : \\?\Volume{a3f85da5-283e-4ed4-81c0-2c0fd163b1c3}\
UsageType                : Default
Capacity                 : 2198752718848
ChunkRedundancyThreshold : 100
DataAccessEnabled        : True
Enabled                  : True
ExcludeFileType          :
ExcludeFileTypeDefault   : {edb, jrs}
ExcludeFolder            :
FreeSpace                : 130142007296
MinimumFileAgeDays       : 0
MinimumFileSize          : 32768
NoCompress               : False
NoCompressionFileType    : {asf, mov, wma, wmv...}
OptimizeInUseFiles       : False
OptimizePartialFiles     : False
SavedSpace               : 0
SavingsRate              : 0
UnoptimizedSize          : 2068610711552
UsedSpace                : 2068610711552
Verify                   : False
Volume                   : E:
VolumeId                 : \\?\Volume{a3f85da5-283e-4ed4-81c0-2c0fd163b1c3}\
PSComputerName           :
CimClass                 : ROOT/Microsoft/Windows/Deduplication:MSFT_DedupVolume
CimInstanceProperties    : {Capacity, ChunkRedundancyThreshold, DataAccessEnabled, Enabled...}
CimSystemProperties      : Microsoft.Management.Infrastructure.CimSystemProperties

ObjectId                 : \\?\Volume{73180747-4bf5-4292-86fd-8e8fc4d076c4}\
UsageType                : Default
Capacity                 : 4397913337856
ChunkRedundancyThreshold : 100
DataAccessEnabled        : True
Enabled                  : True
ExcludeFileType          :
ExcludeFileTypeDefault   : {edb, jrs}
ExcludeFolder            :
FreeSpace                : 1530452013056
MinimumFileAgeDays       : 0
MinimumFileSize          : 32768
NoCompress               : False
NoCompressionFileType    : {asf, mov, wma, wmv...}
OptimizeInUseFiles       : False
OptimizePartialFiles     : False
SavedSpace               : 0
SavingsRate              : 0
UnoptimizedSize          : 2867461324800
UsedSpace                : 2867461324800
Verify                   : False
Volume                   : D:
VolumeId                 : \\?\Volume{73180747-4bf5-4292-86fd-8e8fc4d076c4}\
PSComputerName           :
CimClass                 : ROOT/Microsoft/Windows/Deduplication:MSFT_DedupVolume
CimInstanceProperties    : {Capacity, ChunkRedundancyThreshold, DataAccessEnabled, Enabled...}
CimSystemProperties      : Microsoft.Management.Infrastructure.CimSystemProperties

Eu já tentei desanexar os respectivos discos da função Cluster Service (ou seja, apenas os tornei discos autônomos com volumes "simples" e sistemas de arquivos NTFS), desativando e reativando a desduplicação e fazendo execuções de otimização sem nenhuma alteração significativa no resultado geral.

Então, por que está quebrado e como posso corrigi-lo?

Ao instalar a função Volume Activation no Windows Server 2012 R2 e ativá-la com uma chave de host Server 2012 Std/Datacenter KMS, eu ainda precisaria instalar as chaves das versões mais antigas do produto (Server 2008 - Server 2012) para obter o Vista+ e o Server Mais de 2008 instâncias ativadas?

A mesma pergunta vale para o Office 2013 - uma chave do Office Pro Plus 2013 também ativará o Office Pro Plus 2010?

Nosso "antigo" servidor KMS baseado em Server 2008R2, que deve ser desativado, está listando uma infinidade de chaves como saída de slmgr.vbs /dlv /all, a maioria delas com License Status: Unlicensed, mas simplesmente não sei se isso significa que elas nunca serão usadas novamente.

Estou trabalhando muito no ensino superior, onde é um requisito bastante comum reconfigurar vários membros do domínio do Windows (por exemplo, PCs em uma sala de aula) durante um curso ou evento específico e desfazer essa configuração posteriormente.

Como a maioria das alterações de configuração que somos solicitados a fazer pode ser feita por meio de objetos de política de grupo e essas alterações são revertidas automaticamente quando o GPO é desvinculado ou desativado no nível da UO, esse é um caminho muito confortável a ser seguido.

A única desvantagem é que a vinculação e desvinculação manual repetida de GPOs em OUs requer muitos lembretes e equipe de TI de plantão antes e depois do início dos cursos - algo que a equipe de operações não pode garantir o tempo todo.

Existe uma maneira de especificar um prazo para a validade de um GPO específico?

Eu tenho um farm de Host de Sessão de Área de Trabalho Remota com um Agente de Conexão de Área de Trabalho Remota (Server 2008 R2) arbitrando conexões para este farm. O Connection Broker é configurado como a fonte RemoteApp do Acesso via Web RD (com a função Acesso via Web instalada na mesma máquina):

e os clientes do Windows 7 estão se conectando ao feed da Web RD para receber os arquivos de conexão do RemoteApp. Tudo funciona até agora, exceto por um detalhe importante - os arquivos RDP recebidos do servidor RD Web Access estão direcionando os usuários para um host de sessão específico no farm (o primeiro a ingressar) em vez do próprio farm, introduzindo assim um único ponto de falha e derrotar os recursos de balanceamento de carga de um farm.

Obviamente, eu poderia inserir o nome do farm RD como o "Nome da fonte" em vez do broker de conexão, mas como o broker de conexão RD está agregando vários farms e servidores RD únicos e gostaria de manter um único ponto de administração, gostaria melhor não fazer isso.

Então, posso alterar esse comportamento por reconfiguração ou um hotfix? A atualização para um agente de conexão do Server 2012 R2 ajudaria aqui?

Em uma organização em que a equipe de manutenção de hardware é separada da plataforma de SO e da equipe de operações, os controladores RAID da 3Ware têm sido usados ​​em conjunto com o serviço da Web 3DM2 aberto à equipe de manutenção de hardware para gerenciamento de dispositivos RAID. Isso permitiu que a equipe de manutenção de hardware realizasse as tarefas básicas, como troca de unidades, reconfiguração de arrays ou execuções de manutenção sem incomodar a equipe de operações da plataforma e, o mais importante, sem ter contas de logon locais para os sistemas operacionais:

Como os controladores RAID 3Ware estão sendo eliminados em toda a organização e substituídos por modelos LSI, é necessário ter uma instalação semelhante para os novos controladores que também suportem os sistemas operacionais em uso (Windows Server 2008 R2 - 2012 R2/ SLES 11 - 12, CentOS 6).

Conheço instalações de gerenciamento local como MegaCLI, StorCLI ou Storage Manager (que está disponível apenas para Windows), mas todas exigem logons interativos locais. O agente SNMP parece bastante antiquado, também não consegui encontrar uma maneira direta de usar o SNMP para nada além de fins de monitoramento . Então, há algo disponível para preencher a lacuna de gerenciamento?