我在小型网络(大约 30 台客户端电脑)上继承了 Windows Server 2019 域控制器,并安装了 AD CS。我想为 AD CS 设置专用服务器,因为在 DC 上安装 AD CS 是不好的做法,并且我计划使用证书对用户/计算机进行 Radius 身份验证。
我已经研究了将 ca 传输到另一台计算机的过程,但由于所有证书模板都未配置,并且根证书的密钥长度只有 2048 位,所以我宁愿从头开始。
目前唯一仍然有效的证书是域控制器证书。DC 与 Entra 同步,我认为这需要域控制器证书。
问题:
我已经设置了 Azure 存储帐户文件共享(带有专用端点),并尝试按照这篇 MS 文章将网络位置映射到同一虚拟网络中的我的虚拟机(未加入域)。
我试图在用户登录时通过在 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp 文件夹中放置包含以下代码的批处理文件来分配此网络位置。
net use z: /delete
net use z: "\\{myaccount}.file.core.windows.net\{myfileshare}"
当以本地管理员帐户登录时,它可以创建网络位置,但当我尝试在用户帐户下执行相同操作时,它会失败并显示错误55:指定的网络资源或设备不再可用错误。
我假设这是本地权限问题,任何人都知道解决此问题的正确权限。
在 Windows Server 2019 上使用 IIS 10。我不是服务器管理员,我是管理租用服务器上的站点的开发人员。
我有一个通过姓名运行的报告,并通过客户端脚本访问 ajax 文件来检查该人的状态是否有效。因此,当页面加载时,可以运行大约 100 个 ajax 调用。在某些服务器上,此报告似乎可以完美完成(检查了 100 个名称),但在当前服务器上 - 在几次成功调用之后,其余的(例如 90% 的调用)都被拒绝,并出现通用 403 错误 - 403 Forbidden。
当我手动运行每个单独的链接时 - 它们加载得很好。也许是某种流量阻塞 - 当向同一文件(具有不同参数)发送大量(100)个请求时 - 有些请求被阻塞?我可以在哪里检查这个?
不确定这是否相关,但在奇怪的情况下可能是这样 - 我会提到它:在 Chrome 上,有时在网站标题中链接的所有 css/js 文件都会被拒绝,并出现相同的 403 错误。这显然弄乱了网站。在 Firefox 上,没有类似的问题,甚至是完全相同的页面。
谢谢
更新:上传跟踪中似乎出现的内容。501的子状态似乎不太说明问题?
在 Windows 服务器上,任务管理器中默认不显示磁盘性能。
对于 Windows 2012R2(和其他一些版本),可以通过命令(并重新启动任务管理器)启用它diskperf -y。
这在 Windows 2019 上不起作用。是否有其他解决方案?
(我在互联网上找到的所有解决方案都适用于较旧的 Windows 服务器版本)
我有一个Windows Server 2019(标准版)操作系统,其分区在几天内耗尽空间(C:总共有 100GB)导致操作系统崩溃。它在小型组织中用作域控制器(DC)。您只安装了 WinRAR、防病毒程序和 Acronis True Image Services;不会下载操作系统的更新。我检查了临时文件,它们实际上是空的;防病毒程序几乎不生成文件,Acronis 日志很少。系统事件记录非常有限。页面文件最大限制为 500MB 。休眠当然是关闭的。
注意:几年前我将此 DC 从 Windows Server 2003 迁移到 Windows Server 2008,去年又迁移到了 Windows Server 2019。我认为域控制器对象不足以使数据库增长到填充 100GB。我只需要扩展 C: 分区并通过从另一个分区(单个安装的硬盘驱动器)获取来增加其可用空间。
会发生什么?
在四节点集群中运行 Windows Server 2019 标准版。在事件查看器 -> windows 日志 -> 应用程序中有重复条目。
消息是“Windows Installer 重新配置了产品”。其次是不同的应用和产品
有数百条这样的消息 - 在这组条目之间没有一致的延迟。
大多数 Microsoft 条目都将消息的最后一部分显示为“安装成功或错误状态:0”。
问题是 -
在单 AD 林的 DC 上,我以默认域管理员Administrator(在本例中也是企业管理员)身份登录。在提升的 PowerShell 中,我尝试使用以下命令获取 Kerberos 加密类型(如此处所述):
ksetup /getenctypeattr my.example.com
但我收到一条错误消息:
Query of attributes on MY.EXAMPLE.COM failed with 0xc0000034
Failed /GetEncTypeAttr : 0xc0000034
结果(很可能),我在尝试设置加密类型时也会收到此错误,如this question中所述,不幸的是,该问题目前没有一个严肃的答案。
这确实发生在 Windows Server 2016 和 Windows Server 2019 上,它们大多使用默认设置进行设置。一个简单的怎么会失败?错误代码似乎没有记录。有人知道如何解决或解决这个问题吗?
在 GUI(Active Directory 域和信任MMC 管理单元 ( domain.msc))中,您可以为信任关系设置“其他域支持 Kerberos AES 加密”设置:
我正在寻找一种以编程方式设置此设置的方法。我已经查看了Install-ADDSDomainPowerShell cmdlet 以及该netdom TRUST工具,但两者似乎都不包含设置Kerberos AES 加密设置的选项。
有人可以告诉我,如何以编程方式设置此设置?
我能够使用安装的 WMSVC 服务远程连接和访问 IIS Web 服务器。但是,我需要做的任何规则添加/删除开始/停止...等都可以正常工作,但是添加新网站会阻止我选择路径文件夹。我应该如何启用它以远程选择远程服务器的文件夹路径?
我有一个简单的 MS ADDS 多域林设置,带有一个父域和一个子域。我使用这个官方文档成功地将 RHEL 8 服务器加入了子域。所有操作系统都已通过使用尽可能多的默认值进行设置。我可以通过使用子域的 AD 帐户成功 SSH 到 RHEL 服务器。但是当我尝试使用父域的帐户时,登录失败。我一提交父域的用户名,就journalctl报如下错误:
sssd_be[...]: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (KDC has no support for encryption type)
我检查了每个域的 DC,可以确认所有 DC 都支持相同的三种默认加密类型(存储在msDS-SupportedEncryptionTypes每个 DC 计算机帐户的属性中):
我还确认 RHEL 8 提供了合适的加密类型 ( /etc/crypto-policies/back-ends/krb5.config):
[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac
因此,应该有两个匹配项:aes128-cts-hmac-sha1-96和aes256-cts-hmac-sha1-96。正如我已经说过的,它在子域中运行良好。那么,为什么没有适合父域的加密类型呢?