TheCleaner's questions

Estamos limpando nosso ambiente PKI/CA do Windows e substituindo nossa CA raiz por um novo servidor. A CA raiz atual emite os seguintes modelos de certificado há anos (além do modelo de certificado subordinado):

• Autenticação Kerberos
• Autenticação do controlador de domínio (sabemos que isso foi substituído agora pelo modelo de autenticação Kerberos)
• Controlador de domínio (sabemos que isso foi substituído agora)
• Replicação de e-mail do diretório

A AC subordinada também tem os modelos "emitidos".

Sabemos que isso não é o ideal, e a nova CA raiz será definida para emitir apenas o modelo de certificado subordinado.

A QUESTÃO:

Depois de remover os modelos acima de serem emitidos pela CA raiz (NÃO excluindo o modelo em si, apenas removendo-o da emissão dessa CA raiz), quando os controladores de domínio renovarem automaticamente esses certificados acima, eles saberão examinar a CA subordinada para a renovação/emissão de um novo certificado com base nos modelos necessários para um controlador de domínio? Ou há algo mais que precisamos fazer para emitir proativamente novos certificados para os DCs no ambiente? Os certificados existentes não serão revogados, portanto, serão válidos até que a re-inscrição aconteça, mas estamos curiosos para saber se a re-inscrição falhará se os certificados originais tiverem sido emitidos pela antiga CA raiz. Não temos certeza de como a DC "decide"

Pergunta adicional adicional:

Você sabe o que afetará os certificados existentes que foram emitidos da SubCA existente após substituirmos a rootCA? Estamos migrando o rootCA para um novo nome por: Passo a passo Migrando CA para novo servidor -- outros nos comentários fizeram basicamente a mesma pergunta que estou perguntando sobre certificados existentes, mas sem resposta. Meu palpite é que, desde que o cliente ainda tenha o RootCA antigo em seu Trusted Root Store e o SubCA no Intermediate Store, ele ainda deve ter uma boa cadeia de certificados até que o certificado expire, mas eu gostaria de saber com certeza com antecedência de tempo.

Não tenho meios rápidos de testar isso em um laboratório e não quero mexer na produção sem que pelo menos alguém confirme minha suspeita.

Eu tenho uma VM vCenter 5.1 (e a VM SQL que a acompanha) em execução em um host esxi 5.1 atualmente. Também tenho novos hosts 6.5 e 6.5 vCenter no ambiente.

Gostaria de migrar todas as VMs do host esxi 5.1, mas ainda tenho hosts de filiais remotas dependentes do vCenter 5.1 em execução nesse host. Preciso que o vCenter 5.1 continue até que possamos atualizar os hosts de ramificação remota para 6.5.

Posso migrar a VM vCenter 5.1 (e a VM SQL que a acompanha) para um dos novos hosts 6.5 (desligar a VM, remover do inventário, adicionar ao inventário no novo host 6.5)? Eu sei que não posso me mover.

Minha suposição é que o host 6.5 tratará a VM vcenter 5.1 como qualquer outra VM do Windows sem se importar/saber o que está sendo executado no sistema operacional. Não atualizarei as VMtools na VM.

No SCCM 2012 R2 (1511), em Biblioteca de Software, Atualizações de Software, Todas as Atualizações de Software.

Se eu pesquisar e adicionar critérios apenas para o Windows Server 2012 R2 e patches críticos, o "Percentual compatível" será sempre muito alto, na faixa dos 90, porque inclui ativos "Não obrigatórios"... que também incluem estações de trabalho.

Isso é intencional? Ou pode ser alterado aqui?

É frustrante porque o Percent Compliant não deveria incluir as estações de trabalho. Isso distorce os números. A porcentagem de conformidade para uma atualização específica deve ser baseada apenas em "Compatível", "Obrigatório" e "Desconhecido"

Por exemplo:

Digamos que "Atualizar X" seja exibido como 3 ativos compatíveis, 97 obrigatórios, 2.205 não obrigatórios e 0 desconhecido. IMO, o "Percent Compliant" deve ser de 3%. Em vez disso, o SCCM o mostrará como 96% compatível porque incluirá os "não obrigatórios".

Posso criar um relatório para aplicá-lo a uma coleção específica que me dará a "porcentagem compatível" adequada, mas seria bom vê-lo na área "Biblioteca de software/atualizações de software" também.

Alguém mais lida com isso? Confiar nos relatórios é a única maneira de ver o "Percentual de conformidade" adequado? Existe uma maneira de calcular isso sem incluir o "Não obrigatório"?

Como posso ativar clientes Windows 10 por meio de um servidor KMS existente em execução no Windows 2008 R2?

AMBIENTE EXISTENTE

• Windows 2008 R2 Server executando a função de host KMS
• A chave KMS existente é o Windows 2012 R2 (ou inferior) instalado no host KMS de uma configuração anterior.
• As ativações atuais são adequadas para Windows 2012 R2 e versões anteriores em servidores e Windows 8.1 e versões anteriores para clientes.

RESULTADO DESEJADO

• Ativação de clientes Windows 10 por meio do host KMS

Eu normalmente configuro clusters maiores do que um cluster de 2 nós com armazenamento compartilhado, mas construímos um cluster especificamente para GPUs baseadas em hardware para algumas VMs e, portanto, novo hardware e apenas um cluster de 2 nós com armazenamento SAN compartilhado de back-end.

Os 2 hosts têm 384 GB de RAM e processamento duplo de 10 núcleos.

Contagem total de VM = 12 com vCPU total atribuído igual a 36. A utilização total da CPU da VM é de cerca de 5% em cada uma e 35% de RAM em cada uma.

Minha pergunta é:

Existe uma preferência ou melhor prática na política de admissão do anfitrião? No momento, eu o configurei como "cluster tolera 1 falha de host", mas normalmente definiria porcentagens de cpu/ram com clusters maiores. No entanto, quando faço isso, independentemente da configuração (25/25, 15/15, 50/50), acabo com as VMs mostrando "desprotegidas". Defini-lo de volta para uma única falha de host define todos eles de volta para "protegidos".

Existem determinadas configurações para HA e DRS a serem consideradas ao lidar apenas com um cluster de 2 hosts?

O cluster está atualmente em execução no 5.1, mas não acho que as opções tenham mudado desde então.

Sim... eu sei... o Windows 2003 já foi encerrado.

Estou lidando com um restante em um ambiente grande e tenho alguns problemas que acredito estarem relacionados ao VSS, de acordo com um artigo de hotfix da KB. Em vez de aplicar apenas esse único hotfix, gostaria de reunir os acúmulos de VSS que foram perdidos ao longo dos anos.

Por algum motivo, não consigo lembrar ou descobrir como verificar quais atualizações/hotfixes do VSS o servidor precisaria. Sei que os hotfixes geralmente são "implantados se necessário em uma determinada situação", mas a Microsoft oferece alguns pacotes cumulativos de atualizações do VSS que incluem hotfixes. No entanto, o MS também é ruim em não simplesmente publicar uma lista cronológica que diria "aqui está o último pacote de VSS, aplique este".

Existe uma maneira de descobrir quais rollups de VSS precisam ser aplicados a um servidor sem tentar verificar as versões de arquivo em cada artigo da KB? O próprio Windows Update não parece listar nenhum patch específico do VSS, provavelmente porque eles são considerados hotfixes/hotfix rollups.

Estou um pouco perplexo com isso, então espero que alguém possa me esclarecer, já que me considero uma pessoa bastante experiente em GPO.

Eu tenho um GPO de banner de login que altera as Interactive Logon:configurações Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logonpara exibir um banner de login. Essa é a ÚNICA coisa que esse GPO faz.

AGORA, meu entendimento da Technet e outros online, junto com minhas próprias experiências anteriores, é que você configura isso em um GPO que é aplicado/vinculado ao nível de domínio.

No entanto, aqui na minha empresa atual, nosso "LogonMessage GPO" é aplicado/vinculado apenas aos controladores de domínio OU , e com certeza esse GPO se aplica a todos os computadores da organização.

Eu executei um rsop.msc, por exemplo, em minha estação de trabalho e ele o mostra como o GPO de origem para essa configuração, embora minha estação de trabalho obviamente NÃO esteja na OU Controladores de domínio.

Então o que dá? Por que a aplicação de um GPO de banner de login à unidade organizacional de controladores de domínio o aplica a todos os computadores no domínio?

Um usuário executou um comando robocopy para copiar alguns arquivos, mas infelizmente o usuário acidentalmente estragou a sintaxe.

Algo como:

robocopy "\\server1\share\Accounting" \\server1\share\NewAccounting" /E /X /COPYALL /TEE

Que sem a citação adequada no diretório de destino acabou estragando o destino rocobopy da seguinte forma:

Started : Tue May 05 12:30:00 2015

Source : \\server1\share\Accounting

Dest : \\server1\share\NewAccounting \E \X \COPYALL \TEE\

Files : *.*

Isso acaba criando novas pastas "E", "X", "COPYALL", "TEE" todas sem segurança NTFS.

As guias de segurança da pasta mostram "As informações de segurança solicitadas não estão disponíveis ou não podem ser exibidas". e você não pode excluir as pastas via Windows Explorer ou linha de comando normal.

O servidor em questão é um servidor EMC Celerra CIFS.

Alguma ideia de como limpar isso e remover os novos destinos inválidos?

Atualmente, estamos no VSphere 5.1 em todo o mundo, com cerca de 450 VMs de servidor Windows.

Temos um problema em que temos várias VMs em toda a organização que acabam tendo ferramentas VMware expiradas.

Sem usar ferramentas de terceiros ou VCops ou similares, sei que existe uma maneira de configurar cada VM para atualizar automaticamente durante um ciclo de energia:

E dentro do PowerCLI também vejo uma maneira de criar um script para definir todas as VMs para fazer isso:

$vmConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec
$vmConfigSpec.Tools = New-Object VMware.Vim.ToolsConfigInfo
$vmConfigSpec.Tools.ToolsUpgradePolicy = "UpgradeAtPowerCycle"

Get-View -ViewType VirtualMachine | %{
   $_.ReconfigVM($vmConfigSpec)
} 

Minhas perguntas aqui:

1. Existe uma preocupação de que uma atualização/atualização para ferramentas VMWare possa causar problemas com uma VM convidada do Windows além da paranóia normal de um patch/instalação dando errado? Basicamente, estou perguntando se os prós de fazer atualizações automáticas de ferramentas VMWare em convidados do servidor Windows superam os contras.
2. Existe uma maneira melhor de lidar com as atualizações/atualizações do VMWare Tools que eu não conheço aqui?
3. Existem cenários específicos além das práticas corporativas de política/gerenciamento/segurança para NÃO atualizar/atualizar as ferramentas VMWare? (ou seja, coisas conhecidas que quebram, etc.)

Aqui está um interessante que eu não vi no ServerFault que gostaria de "discutir" com base em nossa regra sobre uma boa pergunta subjetiva .

Tenho uma tonelada de VMs do Windows 2008/2012 em meu ambiente em execução nos clusters VMWare 5.1 e 5.5.

Existe uma configuração bastante comum em NICs que permite marcar/desmarcar informando Allow the computer to turn off this device to save power. O padrão é que isso seja verificado. O conceito é ajudar a economizar energia se a NIC não estiver conectada e mostrada como habilitada e ativa no Windows (pelo que entendi). EDIT: o antes é, na verdade, uma falsidade incorreta transmitida... Este artigo da KB explica melhor o que essa configuração faz: Informações sobre configuração de gerenciamento de energia em um adaptador de rede Ele não desliga simplesmente o dispositivo se houver algum tempo ocioso.

Agora entramos no lado do mundo VM das coisas.

Essa configuração tem algum rolamento marcado ou desmarcado em uma VM? Desmarcar parece frívolo, pois a NIC não é um dispositivo físico e não está consumindo nenhuma energia elétrica real, independentemente. Mas deixar a caixa marcada tem algum efeito negativo quando o Windows gosta de acreditar que é um dispositivo físico? Todas as VMs devem ter esta caixa marcada ou desmarcada?

Estou atirando um pouco às cegas aqui, pois não sou um especialista em Azure e realmente não mexo com isso além do O365 e do DirSync.

Temos um aplicativo de terceiros escrito em Ruby on Rails que eles dizem que terá suporte a SAML na próxima versão e pode fazer SSO sincronizando potencialmente com o Azure AD. Seu aplicativo de nuvem está hospedado no Azure. A terceira parte ainda não nos disse exatamente COMO. Eles disseram que vão publicá-lo como um aplicativo do Windows. Vejo no Azure algo como "adicionar um aplicativo da galeria"... é isso que estou procurando?

Minha pergunta é: nosso Azure AD existente que veio com o Office 365 permite essa configuração de SSO com esse aplicativo de terceiros se ele estiver hospedado no Azure? Em caso afirmativo, algum link ou informação sobre como fazer tal coisa? Tudo o que acabo pesquisando acaba voltando para o DirSync ou similar e sei que não é o DirSync que estou procurando.

É isso que estou procurando em nosso portal do Azure AD abaixo?

Excluímos uma conta de usuário (e, posteriormente, sua caixa de correio do Exchange Online) em nossa organização do Office 365.

Não sentimos a necessidade de exportar o conteúdo OST do Outlook para um arquivo PST para arquivamento local.

Agora é necessário restaurar a caixa de correio e encontrar alguns e-mails recebidos antes da exclusão da conta.

Que opções temos neste momento para restaurar a caixa de correio?

Preciso auditar o número de instalações do Office que cada usuário instalou, bem como os nomes dos computadores nos quais o Office Pro Plus foi instalado.

Eu nunca tinha notado um lugar para executar tal relatório no passado, mas imaginei que poderia haver um. Para minha surpresa, não consegui encontrar nada no portal de administração.

Então eu vi esta postagem no blog: Gerenciando instalações do Office 365 ProPlus: ativando, desativando e reativando o que confirma minhas frustrações:

Somente o usuário conectado pode ver essas informações. Mesmo se você for o administrador da assinatura do Office 365 da sua organização, não poderá ver essas informações em nenhuma das exibições administrativas do Office 365. Isso também significa que você não pode desativar a instalação do Office de um usuário em um computador específico.

Entendo bem como a ativação/expiração do Office Pro Plus funciona no Office 365:

Quando um usuário instala o Office em um computador a partir do Portal do Office 365, e se o usuário ainda não tiver instalado e ativado o Office em cinco outros computadores, o Office é ativado automaticamente. Uma vez ativada a instalação do Office, a página do software no Portal do Office 365 é atualizada com o nome do computador no qual o Office foi instalado.

Todos os dias ou sempre que você iniciar um aplicativo do Office 365 ProPlus, ele verificará se a instalação ou conta individual foi desativada. O computador precisa estar conectado à Internet pelo menos uma vez a cada 30 dias para que essa verificação possa ser feita. Se o computador não estiver conectado à Internet em 30 dias, o Office ficará no modo de funcionalidade reduzida. No modo de funcionalidade reduzida, o usuário poderá apenas abrir e visualizar os arquivos existentes do Office, mas não poderá utilizar a maioria dos outros recursos do aplicativo.

No entanto, não consigo encontrar nenhuma maneira de relatar as instalações/ativações do Office de cada usuário, exceto que eles me mostrem por meio do login do portal.

Portanto, não estou esperando muito sobre isso, mas talvez um dos parceiros/fornecedores do MS Office 365 tenha conseguido criar algo para coletar essas informações?

PS: Também abrirei um ticket com o suporte do O365 para perguntar a eles ... mas isso parece algo que deve ser documentado aqui no ServerFault para referência de outros.

No Office 365, você pode alternar algumas configurações para ajudar na filtragem de spam.

Entre elas está uma configuração para habilitar uma "Lista de palavras sensíveis", conforme mostrado abaixo:

O problema é... Não consigo encontrar nenhuma lista no Technet ou em outro lugar online que mostre o que essa lista realmente contém. Ele não é editável e também não pode ser acessado por meio do Powershell do Exchange Online.

Eu até arrisquei a ideia de que esta lista foi transportada do Forefront, mas ainda não consigo encontrar uma lista real.

Então ... alguém realmente sabe o que está incluído nesta lista?

TL;DR

Existe uma maneira via script, powershell, reg delete, via telekinesis, o que for para redefinir o Outlook 2013 como se nenhum perfil existisse e estivesse sendo executado pela primeira vez?

Ainda trabalhando com este, mas esperando que outros tenham uma visão.

CENÁRIO

Muitos usuários aqui têm perfis existentes do Outlook se conectando a um servidor Exchange local. Estamos no meio de nossa migração para o Office 365. Para migrar o Outlook do usuário, você deve criar um novo perfil no Outlook ou excluir completamente o perfil antigo e "começar de novo".

Queremos que nossos usuários comecem do zero e tenham o nome de perfil padrão de "Outlook" para seu perfil de e-mail (em vez de algo personalizado ou um segundo perfil como "O365") . Isso ocorre porque nosso sistema ERP procura esse perfil para enviar e-mail enquanto estiver no software ERP.

PROBLEMA

O problema é que "começar de novo" não é realmente começar de novo.

Se eu remover manualmente o perfil padrão "Outlook" das Mailconfigurações do painel de controle, o Outlook será iniciado sem um perfil, mas solicitará um nome de perfil:

Se eu digitar Outlookcomo o novo nome do perfil agora, recebo:

Se eu entrar REGEDITe olhar em:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles

Ainda vejo "Outlook" como um perfil.

Eu tentei fazer uma Reg DELETEdessa chave e todas as subchaves e, embora diga "excluído com sucesso", não funciona.

Se eu excluir manualmente esta chave de perfil, posso iniciar o Outlook novamente e, quando ele solicitar um novo nome de perfil, posso inserir Outlooke ele o aceitará e me permitirá continuar como se fosse uma nova configuração do Outlook:

Não aparece nas opções de linha de comando do Outlook 2013 ( encontrado aqui ) que o /cleanprofile ainda está disponível.

PERGUNTA DE FUNDO

Existe uma maneira via script, powershell, reg delete, via telekinesis, o que for para redefinir o Outlook 2013 como se nenhum perfil existisse e estivesse sendo executado pela primeira vez?

Sim, eu posso iniciar uma VM ou remoto em algo e tentar a senha... eu sei... mas existe uma ferramenta ou script que irá simular um login apenas o suficiente para confirmar ou negar que a senha está correta?

Cenário:

A senha de uma conta de serviço do servidor é "esquecida"... mas achamos que sabemos qual é. Eu gostaria de passar as credenciais para algo e tê-lo de volta com "senha correta" ou "senha incorreta".

Eu até pensei em um script de mapeamento de unidade com essa conta de usuário e senha sendo passada para ver se mapeava a unidade com sucesso ou não, mas me perdi na lógica de fazê-la funcionar corretamente ... algo como:

-Script solicita nome de usuário via msgbox -script solicita senha via msgbox -script tenta mapear uma unidade para um compartilhamento comum ao qual todos têm acesso -script desmapeia a unidade se for bem-sucedido -script retorna a msgbox pop-up informando "Senha correta" ou "Incorreta" Senha"

Qualquer ajuda é apreciada... você pensaria que isso seria uma ocorrência rara, não exigindo uma ferramenta para apoiá-lo, mas... bem....