Ryan Ries's questions

我注意到，当我使用 Powershell 获取 Active Directory 域安全组的组成员身份时，Powershell cmdletGet-ADGroupMember $Group失败并显示错误消息：

PS C:\> get-adgroupmember MyGroup
get-adgroupmember : An operations error occurred
At line:1 char:1
+ get-adgroupmember MyGroup
+ ~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (MyGroup:ADGroup) [Get-ADGroupMember], ADException
    + FullyQualifiedErrorId : ActiveDirectoryServer:8224,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember

我已尝试指定-server $DC参数，以便 cmdlet 以特定 DC 为目标，然后在重现错误时检查该 DC 上的安全日志，并且不会生成相关的安全故障审核。我打开了services\NTDS\Diagnostics密钥中的所有诊断注册表项，并且在目录服务日志中也没有产生任何有趣的东西。

如果我从 MyGroup 中删除驻留在其他域中的组成员，则 cmdlet 可以正常工作。

有趣的是，我注意到如果我在 DC 本身上本地运行该命令，它就可以工作。但是，当我使用相同的用户帐户（域管理员）从成员服务器远程运行命令时，它会失败。

知道有什么问题吗？

操作系统：Server 2012 Core 和 Server 2012 R2 Core。DFS-Replication 已安装并且看起来很健康。

我正在使用 WMI 从 DFSR 复制成员收集信息。查询可以在许多计算机上运行，​​但有几个复制成员无法在这些计算机上运行。

它是 root\MicrosoftDFS 命名空间中的 DfsrReplicatedFolderInfo 类。

如果我执行以下 Powershell 命令：

Get-WmiObject -Namespace 'root\MicrosoftDFS' -Class DfsrReplicatedFolderInfo

结果为空。没有错误，但绝对没有输出。

如果我执行以下相应的 wmic 命令：

wmic /namespace:\\root\microsoftdfs path DfsrReplicatedFolderInfo get

它返回：

No Instance(s) Available.

无论命令是在本地还是远程执行，都会发生这种情况。

winmgmt /verifyrepository返回：

WMI repository is consistent

使用wbemtest，我可以查看 DfsrReplicatedFolderInfo 类定义，但似乎没有它的实例。

同一命名空间中的其他 DFSR 相关类似乎工作正常。

在 Windows Server 2008 R2 或 Windows 2012 等中使用任务计划程序...

这个设置有什么区别：

和这个设置在同一个任务上：

一个优先于另一个吗？他们有冲突吗？

在 Active Directory 域中，如果我在域成员计算机上配置 Windows 服务以使用 AD 用户帐户（又名“ye olde 服务帐户”）启动，然后服务保持运行但我不重新启动服务或重新启动机器一年...服务帐户的用户对象的 LastLogonTimestamp 是否继续更新？

编辑：如果你说“它取决于服务”，那么以 MS SQL Server 为例。我将 MSSQL 引擎设置为作为 contoso\sql-service 运行。然后我把它放了一年。

Windows 服务器 2008 R2。

已安装 SQL Server 2008 R2。

MSSQL 服务作为本地系统运行。

服务器 FQDN 是 SQL01.domain.com。

SQL01 已加入名为 domain.com 的 Active Directory 域。

以下是setspn的输出：

C:\> setspn -L sql01
...
MSSQLSvc/SQL01.domain.com:1433
MSSQLSvc/SQL01.domain.com
WSMAN/SQL01.domain.com
WSMAN/SQL01
TERMSRV/SQL01.domain.com
TERMSRV/SQL01
RestrictedKrbHost/SQL01    
RestrictedKrbHost/SQL01.domain.com
HOST/SQL01.domain.com
HOST/SQL01

然后我启动 SQL Server Management studio 并连接到 SQL01：

然后我运行以下查询：

SELECT auth_scheme FROM sys.dm_exec_connections WHERE session_id = @@spid 

结果是 NTLM。为什么结果不是 Kerberos？SPN 似乎对于使用本地系统帐户是正确的。服务器不在集群中或使用 CNAME。

服务器 2012，Powershell 3.0。

我正在做一些需要自动启用和禁用网络适配器的工作。这是我在运行时看到的示例Get-NetAdapter：

Name                      InterfaceDescription                    ifIndex Status       MacAddress             LinkSpeed
----                      --------------------                    ------- ------       ----------             ---------
Slot 0 Port 4             HP NC382i DP Multifunction Gigabi...#53      15 Not Present  11-80-1B-94-2A-82          0 bps
Slot 0 Port 2 (TM-2)      HP NC382i DP Multifunction Gigabi...#51      14 Up           11-80-1B-94-27-72         1 Gbps
Team 1 (Team)             Microsoft Network Adapter Multiplexo...      17 Up           11-80-1B-94-2A-72         1 Gbps
Slot 0 Port 3             HP NC382i DP Multifunction Gigabi...#52      13 Disabled     11-80-1B-94-2A-80         1 Gbps
Slot 0 Port 1 (TM-1)      HP NC382i DP Multifunction Gigabi...#50      12 Up           11-80-1B-94-2A-70         1 Gbps

请注意，Status 属性不是二进制的。它可能已启动、已禁用或不存在。

当我Enable-NetAdapter在状态为“不存在”的 NIC 上运行时，该命令会静默返回，没有错误输出，但不会启用 NIC。然后我通过右键单击控制面板中的图标并选择启用来手动启用 NIC。它的状态现在是 Enabled，状态为 Up。

然后我Disable-NetAdapter在网卡上运行。它的状态现在是“禁用”。

现在，Enable-NetAdapterCmdlet 按预期工作并打开了 NIC。

• 那么什么是“不存在”，为什么 Powershell 在处于该状态时无法启用 NIC，但我通过 GUI 启用它没有问题，但现在它似乎只能在启用和禁用之间来回切换？
• 如果我愿意，如何恢复“不存在”？
• 当 NIC 处于“不存在”状态时，如何使用 Powershell 启用它？

Windows Server 2008 非 R2，64 位。它是一个 AD 域控制器。它在其计算机\个人存储中使用第三方证书（不是 AD CS 和自动注册）来启用基于 SSL 的 LDAP。

我获得了一个新证书来替换即将到期的证书。我将它导入到 Computer\Personal 商店。

我完全删除了旧证书，我没有存档它。现在新证书是商店里唯一剩下的一张。

我重新启动域控制器只是为了更好的措施。

我已经通过另一台机器的网络监视器数据包捕获验证，当他们尝试使用例如 ldp.exe 连接到 LDAP-S 服务并使用 SSL 连接到端口 636 时，域控制器仍然以某种方式将旧证书分发给客户端.

域控制器到底怎么还在传递过期的证书？我已将其从计算机\个人商店中完全删除！这让我变成了一只悲伤的熊猫。

编辑：HKLM\SOFTWARE\Mirosoft\SystemCertificates\MY\Certificates仅包含一个子项，它与新的良好证书的指纹匹配。

我知道 WINS 很古老。不用提醒我。就其价值而言，这项努力是为了一个将其完全从环境中淘汰的项目。

但在此之前，我需要能够以脚本或编程方式从中收集统计数据。

请参见下面的屏幕截图：

请参阅“查询总数”（对拼写错误大笑）“找到的记录”等？

我如何获得这些价值？它们不在 Perfmon 中，也不在我发现的任何 WMI 类中。我找不到任何相关的 COM 对象。有像“查询/秒”这样的计数器，但我不关心查询/秒。我想要总查询。就像上面的截图一样。

如果必须，我将 P/Invoke Win32...只是...我从哪里获得这些指标？

这是我一直很好奇但从未问过的那些小事之一。

在 Windows DNS 服务器上，您可以启用 DNS 调试日志记录并观察数据包飞过。

该日志中的一行可能如下所示：

6/5/2013 10:00:32 AM 0E70 PACKET  00000000033397A0 UDP Rcv 10.161.60.71    5b47   Q [0001   D   NOERROR] A      (12)somecomputer(6)domain(3)com(0)

我感兴趣的部分是最后实际查询的名称：

(12)somecomputer(6)domain(3)com(0)

那些取代句号的数字是什么意思？

服务器 2012 核心。

我可以使用 sconfig 选项 6 手动检查 Windows 更新。我可以使用 sconfig 选项 5 将 Windows 更新设置为自动。太棒了。

如果我想将其更改为凌晨 4 点怎么办？如果我想将其更改为每周只检查一次怎么办？

我四处张望，HKLM:\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\但没有看到任何看起来像是让我按照自己的意愿微调时间表的东西。

Windows 2008 R2 域控制器和功能级别。网络连接如下：

DC03 ------ DC02 ------ DC01(FSMOs)

DC01 拥有所有 FSMO。尚未推广的DC03，目前与DC02通信正常。所有 FSMO 角色都在 DC01 上。所有站点、子网和站点链接对象均已正确配置以表示上面显示的网络情况。

DC03 不能直接与 DC01 通信。

DC03 上的 DCPromo 当前失败，因为 DCPromo 运行一些直接网络连接到 FSMO 角色持有者的测试。它正在尝试将 LDAP 绑定到 RID 主机，但失败了，此时 DCPromo 假定 RID 主机处于脱机状态。但它不离线。

有什么办法可以绕过连接测试吗？DC03 目前与 DC02 同步得很好，可以从中读取它想要的所有 Active Directory。

我考虑过从媒体安装，但我想在尝试之前更多地确认它是否真的有效，而且我没有看到任何证据表明 IFM 安装会跳过常规 DCPromo 所做的连接测试。

PS - 不移动 FSMO 角色。

我最近尝试根据以下说明为 clmAgent 用户帐户续订证书：

http://technet.microsoft.com/en-us/library/hh149034%28v=ws.10%29.aspx

我使用 clmAgent 帐户登录，转到 Certificates MMC，在当前用户 -> 个人存储中右键单击 clmAgent 证书，然后选择“使用新密钥更新证书...”

证书更新成功。然后我用新证书指纹/哈希更新了 web.config。我还将新指纹添加到 CA 策略模块下的签名证书选项卡中。然后我执行了 iisreset 并重新启动了 FIM CM 更新服务。

现在 FIM 能够发行新的智能卡，但无法淘汰现有的智能卡。当我尝试退出操作时，出现错误“根级别的数据无效。第 1 行。位置 1。 ”CNG 密钥隔离服务正在运行。证书模板版本为 2003 且未更改。此外，它使智能卡看起来无法使用，因为它会擦除卡上的数据，但 FIM 坚持认为该卡仍在使用中，因此我无法重新注册它。

我已经使用 Hyper-V Server 2012（免费的核心版）几个月了，每天，服务器都会尽职尽责地在应用程序日志中生成此错误：

HYPER2012   8208    Error   Microsoft-Windows-Security-SPP  Application 1/18/2013 10:00:14 AM

Acquisition of genuine ticket failed (hr=0xC004C4A2) for template Id {67a81643-c828-3e62-341f-a5bd2a25048d}

它不会影响任何东西，但如果可以的话，我肯定不介意摆脱它。每天上午 10 点，它就在事件日志中等着我。

在服务器管理器中，服务器在 Windows 激活列下显示为“已激活”。

哈尔普。

编辑：另外，我在运行 slmgr /ato 时得到这个：

Activating Windows(R), ServerHyperCore edition
{guid-stuff} ...
Error: 0xC004C003 The activation server determined the specified product key is blocked

让我们以以前称为Likewise的产品为例。我可以非常轻松地将它安装在 Linux 机器上并将其加入 Active Directory 域。

我还可以使用 RSA PAM 模块，这样用户就可以使用 RSA 身份验证服务器已知的用户名，强制使用 2 因素硬件令牌 PIN 和密码进行身份验证。

我可以同时使用这两个吗？换句话说，我想我想问的是我可以同时使用两个 PAM 模块吗？（我不是 Linux 专家，所以请放轻松。）

让我们只关注 2008 R2 SP1 上的 Hyper-V 或 Server 2012 上的 Hyper-V。来宾都是 Windows 本身的现代版本，Windows 7 或 8，或 2008 R2 或 Server 2012。

我真的需要在来宾上安装 Hyper-V 集成服务吗？没有它们，一切似乎都很好。而且我理解为什么它们在旧版本的 Windows 或者当然是非 Windows 操作系统上可能是必需的......

我阅读了一些关于集成服务的用途的信息，但我找不到任何足够具体的信息让我相信我需要担心在 Win7、Win8、2008R2 等来宾操作系统上安装它们。

所以我有一个服务器，每次用户或服务帐户登录到机器时，系统日志中都会生成一个错误事件：

A Kerberos Error Message was received:
 on logon session DOMAIN\serviceaccount
 Client Time: 
 Server Time: 12:44:21.0000 10/9/2012 Z
 Error Code: 0x19 KDC_ERR_PREAUTH_REQUIRED
 Extended Error: 
 Client Realm: 
 Client Name: 
 Server Realm: DOMAIN
 Server Name: krbtgt/DOMAIN
 Target Name: krbtgt/DOMAIN@DOMAIN
 Error Text: 
 File: e
 Line: 9fe
 Error Data is in record data.

所以当然我用谷歌搜索了这个，我得到的唯一信息是“它不一定表示有问题，你通常可以忽略它。”

好吧，太棒了，但是这些错误大约每分钟一次向我的系统日志发送垃圾邮件，我真的很想让它们停止。有任何想法吗？

来自 Microsoft AskDS 博客：

KDC_ERR_PREAUTH_REQUIRED

如果您在跟踪中看到此错误，则根本不表示存在问题。客户端请求了一张票，但没有包含预身份验证数据。您通常会看到再次发送相同的请求和数据以及发出票证的域控制器。Windows 使用此技术来确定支持的加密类型。

我希望这不是一个愚蠢的问题，如果是，那么我至少想把它解决掉，这样我以后就不会觉得自己很愚蠢了。

我们在这里，使用 Windbg 加载 Windows 崩溃转储。以下是调试器输出的前几行：

0: kd> .dumpdebug
----- 64 bit Kernel Summary Dump Analysis
DUMP_HEADER64:
MajorVersion 0000000f
MinorVersion 00001db1
...

我主要了解的次要版本。它是十六进制的，转换为十进制的 7601。Windows 管理员已经能够从中判断出这必须是 Win7 x64 机器或带有 SP1 的 2k8 R2 机器。但是 7601 不是内部版本号吗？它应该是 Major.Minor.Build/Revision... 对吧？

我也不明白 MajorVersion。应该是6。这个版本的Windows是6。但是十六进制的0000000f不就是十进制的15吗？

例如，当您启动命令提示符时，此版本 Windows 的完整版本字符串为 6.1.7601。如果 7601 是 MinorVersion，那么 1 和 6 是什么？为什么故障转储显示 0F？

我认为关于 Active Directory，用户和计算机被视为平等主体的说法是正确的。用户和计算机都有密码，要求用户和计算机都独立登录域。

我了解自动启动的 NetLogon 服务负责在启动时将计算机登录到域。那时，NetLogon 通过 DNS 查找使用一些域控制器定位器逻辑来帮助它定位域控制器。

如果计算机之前登录过该域并且已经知道它属于哪个站点，它可以从特定于站点的 DNS 查询开始以定位 DC，如果有必要则故障返回到更通用的 DC。

如果到目前为止我的任何假设有误，请纠正我。

那么用户在登录计算机时，是否在他/她登录计算机时有一个单独的DC定位器进程？或者用户是否使用计算机在登录时已经出现的任何内容？一台计算机和登录该计算机的用户是否可能拥有不同的身份验证 DC？

我们大多数人都知道我们需要创建子网对象并将它们关联到 Active Directory 中的站点对象。这使站点 A 中的客户端能够向站点 A 中的域控制器进行身份验证，获得正确的 DFS 引用等。

我如何在具有数千个子网的环境中进行管理？从字面上看，数以千计的子网不断发展，不断被添加和删除。

理想情况下，答案不应该是“雇用 50 名管理员”。

我有一个 SQL 服务器，它是运行 Windows 2008 R2 的域成员。它是故障转移群集中的一个群集节点。安全事件日志中充斥着这些：

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/17/2012 8:30:19 AM
Event ID:      4793
Task Category: Other Account Management Events
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      SqlServer01.domain.com
Description:
The Password Policy Checking API was called.

Subject:
    Security ID:        DOMAIN\ClusterServiceAccount
    Account Name:       ClusterServiceAccount
    Account Domain:     Domain
    Logon ID:       0xaaaaa

Additional Information:
    Caller Workstation: SqlServer01
    Provided Account Name (unauthenticated):    -
    Status Code:    0x0

当我说“淹没”时，我的意思是每秒大约有 20 个这样的事件被记录到安全日志中，这意味着安全日志现在基本上没有用了，因为它在一个小时内就被这些事件填满了，没有空间容纳其他任何东西.

我确实找到了这篇关于它的Technet 文章，它给了我一个关于如何关闭它的日志记录的线索，但不是简单地关闭日志记录，我真的很想知道到底是什么导致了它，为什么它这样做，以及如何让它停止调用密码策略检查 API。