Tim Brigham's questions

Estou recebendo falhas de pré-autenticação kerberos - evento 4771 - entre meus DCs. Eu acho que é um comportamento normal (isso acontece há anos, desde que habilitei o registro adicional), mas não consigo encontrar nenhuma explicação do motivo pelo qual isso está acontecendo.

Algumas notas:

• acontecendo de controlador de domínio para controlador WENDELde domínioSTEVE
• nunca ocorre STEVEa WENDEL.
• STEVEdetém as funções FSMO.
• DCs ainda estão em 2012r2, incluindo nível operacional

Todos os eventos têm os mesmos detalhes de ingresso.

Ticket Options:     0x40810010
Failure Code:       0x18
Pre-Authentication Type:    2

Eu fiz o dcdiag usual como uma verificação de sanidade e nada parecia fora do comum.

Com o suporte a fontes de usuário 1809 descrito aqui e aqui , o método que usei no passado para fazer instalações administrativas de fontes não funciona mais, instalando a fonte apenas para uma conta específica na qual a instalação é executada.

É um script PS bastante padrão, baseado em um da galeria powershell.

$ShellAppFontNamespace = 0x14
...
$ShellApp = New-Object -ComObject Shell.Application
$FontsFolder = $ShellApp.NameSpace($ShellAppFontNamespace)
foreach ($Font in $Fonts) {
    Write-Host ('Installing font: {0}' -f $Font.BaseName)
    $FontsFolder.CopyHere($Font.FullName)
    break 
}

Existe algum sinalizador específico para copyhere que eu preciso definir para indicar que este é um comando de todo o sistema agora? Como está agora, parece totalmente indocumentado.

Editar:

Eu acho que isso está apontando corretamente para a pasta C:\Windows\Fonts.

PS C:\WINDOWS\system32> $FontsFolder.Self


Application  : System.__ComObject
Parent       : System.__ComObject
Name         : Fonts
Path         : C:\Windows\Fonts
GetLink      :
...

Estou usando o O365/Outlook no meu domínio principal example.com. Eu tenho um subdomínio intl.example.comque é na verdade uma entidade comercial separada.

O domínio intl configurado como um G Suite independente. O problema é que há certas coisas que eu gostaria de enviar do meu sender@example.comendereço para recipient@intl.example.com.

O problema é que é preciso uma conta da Microsoft para o destinatário entrar nesses recursos. Ao tentar me inscrever, recebo o tradicional "Você não pode se inscrever aqui com um endereço de e-mail profissional ou escolar. Use um e-mail pessoal, como Gmail ou Yahoo!". Esses endereços de email não fazem parte do Azure AD e nunca farão. Posso marcar este subdomínio como especificamente não fazendo parte do Azure AD de alguma forma? Vi alguma documentação relacionada a esse problema de 2016, mas nada concreto ou com resolução.

Estou trabalhando em uma implantação do Windows 10 e quero usar um LayoutModification.xml para configurar a barra de tarefas . A implantação funciona perfeitamente e faz minhas alterações, mas os usuários não conseguem remover esses itens fixados quando são desnecessários. Como eu permito isso?

<LayoutModificationTemplate
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
    xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
    xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
    Version="1">
....  
   <CustomTaskbarLayoutCollection PinListPlacement="Replace" >
      <defaultlayout:TaskbarLayout>
        <taskbar:TaskbarPinList>
          <taskbar:UWA AppUserModelID="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
          <taskbar:DesktopApp DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\File Explorer.lnk" />
          <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\xxxxlnk" />

        </taskbar:TaskbarPinList>
      </defaultlayout:TaskbarLayout>
   </CustomTaskbarLayoutCollection>


</LayoutModificationTemplate>

EDITAR% S:

Isso está ocorrendo no Win10 1703.

Eu estava pensando que poderia ser apenas alguns direitos NTFS, mas com o uso do novo método de implantação de perfil, este arquivo LayoutModification.xml é copiado do usuário padrão para o perfil de usuário local apenas na criação. Dentro do perfil de usuário padrão (com direitos de usuário padrão), se eu editar o item fixado em sua cópia de LayoutModification.xml, ele desaparece. É uma solução alternativa, mas não é realmente uma correção.

Estou movendo uma configuração de proxy reverso do Apache para o IIS. Alguns desses sites precisam se autenticar no proxy antes de prosseguir. Eles estão em um site IIS separado para simplificar. Como faço para especificar que este site e/ou os proxies reversos que configurei nele podem ser usados ​​por um grupo específico do AD?

O que eu tentei:

O abaixo é feito apenas com a autenticação do Windows habilitada no IIS. Todos são Server 2016 / IIS 10.

1. Definir as permissões NTFS na pasta que hospeda o site de proxy reverso apenas para the domain\desiredgroupe os proxy\iis_iusrsgrupos, mas isso não ajudou - ainda está permitindo qualquer domain\domain userspassagem.

2. Editando as regras de autenticação com domain\desiredgroupacesso e domain\domain userssendo negado. Isso bloqueia todos.

Gostaria de definir uma variável de ambiente em meus sistemas Linux gerenciados pelo Puppet para conter o nome da ramificação em execução no momento, o arquivo $environment. Precisa ser uma variável de nível de sistema de qualquer lugar e de qualquer usuário do sistema - estou tentando evitar qualquer tipo de tolice do sistema de arquivos, se possível.

Basicamente, gostaria de poder ler essa variável em outro código e incluí-la nos logs que ela cria.

Idealmente, estou procurando uma resposta entre plataformas, mas o específico CentOS/RedHat seria um ótimo começo.

Editar: gostaria de evitar ter algum arquivo aleatório em /etc/ que preciso ler toda vez que escrevo uma linha em meu log.

Pensei em usar o profile.d logo depois de postar. O problema é que muitos serviços não carregam o perfil e, mesmo que eu use um fragmento, será necessário reler o perfil se eu fizer uma alteração.

Isso deve ser ridiculamente fácil de encontrar. Gostaria de configurar uma condição no SCCM para algumas etapas da tarefa com base nas variáveis ​​que defini. Qual é o caractere curinga correto para usar no valor aqui? Espero evitar a necessidade de seguir a rota de pesquisa do wmi, pois isso facilitará a manutenção por outras pessoas.

Estes são baseados em texto e estou apenas querendo analisá-lo como o seguinte.

 OSDComputerName like "Secure%Machine"
 OSDComputerName like "Secure*Machine"

Tenho vários provedores de internet. Para minhas instâncias do Azure, gostaria de poder definir um gateway de rede local para cada um com o mesmo espaço de endereço, para que eu possa alternar facilmente entre eles em caso de falha.

É seguro/possível fazê-lo? Eu ficaria preocupado que esses objetos pudessem ser usados ​​para roteamento no lado do Azure e acabassem resultando em uma rota dividida.

Estou trabalhando em algumas auditorias para PCI-DSS, principalmente "Auditoria de acesso ao serviço de diretório". Isso cria um grande volume de logs, principalmente com base em algumas propriedades recorrentes específicas acessadas da mesma maneira.

Consegui identificar esses atributos via TechNet. Nenhum dos que estou tendo problemas está visível na IU de auditoria em AD Users and Computers.

Estou pensando em editar as configurações do esquema no adsiedit e desabilitar a herança? Parece contra-intuitivo, mas deve funcionar.

Eu tenho um produto Fortigate executando o FortiOS 5.4.xe não consigo atenuar a vulnerabilidade Sweet32 .

Já habilitei os algoritmos de alta segurança e desativei o SSL3 / TLS1.0 para Beast & Crime conforme mostrado abaixo.

config system global 
  set strong-crypto enable 
  end

config vpn ssl setting 
   set sslv3 disable 
   set tls1-0 disable 

Como posso resolver isso?

Estou pensando em migrar alguns serviços relacionados a e-mail do Publicaster. Observando o MS Technet que descreve o uso do 365 como um retransmissor autenticado, há um limite de 10K diários e 30 mensagens por segundo.

Se optarmos por seguir esse caminho, como exatamente isso afetaria as operações do dia a dia? Precisaríamos que nossos desenvolvedores agrupassem o processamento de mensagens? Essas mensagens em massa estariam na mesma fila que nossos usuários e, portanto, retardariam sua recepção?

Em minhas novas caixas do Azure 2012r2 em uma DMZ, não consigo que uma consulta WMI funcione com uma referência FQDN. Essas consultas são executadas na máquina local, mas precisam ser referenciadas por FQDN para funcionar com nossa solução de monitoramento.

Está dando erro de 'acesso negado'. O nome do host, o IP público e o loopback funcionam perfeitamente. Como faço para corrigir isso?

$objSWbemLocator = New-Object -comobject WbemScripting.SWbemLocator
$objSWbemServices = $objSWbemLocator.ConnectServer("passport.external.mydomain.org") <-- Broken
$objSWbemServices = $objSWbemLocator.ConnectServer("passport")
$objSWbemServices = $objSWbemLocator.ConnectServer("127.0.0.1")
$objSWbemServices = $objSWbemLocator.ConnectServer("10.15.14.7")

Eu fiz algumas pesquisas e parece que estou recebendo uma falha de logon de rede correspondente a esses problemas de WMI. Varia um pouco - dependendo se eu adicionei passport.external.mydomain.orgao arquivo HOSTS no endereço de loopback - mas sempre é o tipo de logon 3 (rede) com um status de 0xC000006D (nome de usuário incorreto ou informações de autenticação).

Então, finalmente mordemos a bala e começamos a usar UEFI para nossos desktops. Funciona perfeitamente para nossas imagens Hyper V - podemos criar VMs gen 2 durante todo o dia. Isso é verdade até precisarmos refazer a imagem. Como configuro uma VM Gen 2 com um sistema operacional existente para inicializar a partir do PXE?

Pela minha vida, não posso alterar a ordem de inicialização para permitir que eu inicialize a partir da rede. Na interface do firmware nas configurações do sistema, ele lista apenas os gerenciadores de inicialização do Windows. É doloroso e lento ter que remover e recriar as VMs toda vez que queremos experimentar uma nova variação de uma imagem. Como podemos resolver isso? Suponho que haja algum sinalizador oculto na VM que preciso editar com o Powershell, mas falta a documentação.

Tenho vários projetos com subdomínios em nosso principal servidor DNS interno da MS.

Alguns deles - como 'projetos' aparecem como zonas de pesquisa direta de nível superior separadas, outros, por exemplo, 'QA' e QA seguro. aparecem como subdomínios do domínio principal, conforme mostrado.

Qual é a diferença entre esses dois e como posso me mover entre os dois?

Gostaria de definir o local padrão para todos os meus usuários no Abila MIP Fund Accounting. Parece que não há lugar para alterar isso na interface do usuário e os artigos da Abila KB não fornecem informações.

Estou recebendo um comportamento que não entendo muito bem do meu proxy reverso do Apache.

Eu tenho um servidor back-end que retorna um 503 usando app_offline.htmdurante determinados processos.

Quando isso ocorre, recebo um erro Apache 403 tradicional:

You don't have permission to access / on this server.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

Se meu servidor back-end estiver indisponível e o mod_proxy não puder se conectar, vejo minha tela de erro personalizada, mas um 503 genérico. não sei como.

Dentro do Azure, uma única rede virtual pode ter dois gateways, um para dispositivos baseados em política e outro para baseado em rota? Em caso afirmativo, como?

Por que estou perguntando: preciso conectar uma rede legada em um data center hospedado que forneça apenas um túnel Cisco VPN que seja apenas estático. Agora não consigo fazer conexões vnet para vnet.

Isso deve ser básico, mas estou tendo muito trabalho para encontrar a resposta.

Estou no processo de demonstração do SRM da VMware.

A instalação é boa e posso facilmente executar uma restauração para uma única máquina.

Estou desenvolvendo um script de recuperação para um único aplicativo espalhado por cerca de 10 servidores, alguns servidores sql, alguns servidores de aplicativos, uma máquina de acesso do cliente entre alguns outros.

Os grupos prioritários são definidos exatamente como deveriam ser e não preciso adicionar nenhuma definição intragrupo.

Quando testo meu plano de recuperação, vejo as VMs de prioridade 1 serem acionadas primeiro, a prioridade 2 não ser acionada e algumas - cerca de metade - das VMs de prioridade 3 inicializarem. Parece que as coisas eventualmente seguem em frente, ainda usando essa estranha ordem. O que diabos está acontecendo aqui? Está relacionado ao método que o SRM usa para alterar os endereços IP? Algo na versão do hardware e/ou VMware Tools?

Todos os hosts ESXi e vSphere são 5.5. Estou usando replicação do vSphere e SRM 5.8.1.

Tenho trabalhado com o SCCM 2012 configurando um cronograma de atualização contínua. Prefiro usar a opção 'adicionar a um grupo de atualização de software existente'.

O problema que tenho com isso é que não tenho certeza se isso redefiniria o prazo para quaisquer atualizações já incluídas no grupo de atualização de software existente. Seria uma dor se meus cronômetros fossem redefinidos apenas porque algo novo está sendo adicionado.

Colocado de outra forma:

O comportamento do cronograma/prazo de implantação é ditado pelas atualizações individuais ou é feito com base no grupo de atualização de software como um todo?

Estou trabalhando em um servidor SCCM e tenho várias regras de implantação automática que visam diferentes computadores em horários específicos.

Todos esses ADRs usam parâmetros de seleção quase idênticos - número de requisitos, classificação de atualização etc. Eles também atualizam o mesmo pacote e não criam novas versões.

Eu ficaria melhor usando um único pacote de implantação compartilhado entre todas essas tarefas ou configurando-as individualmente? Se eu for com sequências individuais, há algum ajuste que devo fazer para evitar tráfego de rede desnecessário?