我们在 Windows Server 2022 上有一个网络共享,其中托管着许多“生产”文件和开发文件。我们有两个域 - 一个 prod 域(例如“prod.local”)和一个 dev 域(“dev.local”)。
某些文件夹已设置为具有“所有人”访问权限,并且虽然产品域和开发域之间存在信任关系,但开发用户对共享具有只读访问权限,如预期的那样。
但是,我被要求以一种方式进行信任(开发人员信任产品,产品不信任开发人员),现在“所有人”权限不再起作用。
我已尝试实施此处建议的更改,但 a) 似乎这些是 Windows 10/11 的解决方案,b) 它仍然不起作用(即开发用户仍然无法访问共享)。
应如何在 Windows Server 上配置此类共享以允许另一个域访问?
我在 Windows Server 2022 上托管了一个 Docker 群。我创建了一个credentialspec文件,因为我需要该服务来使用gMSA。我还定义了一个组合文件来启动我的服务:
version: '3.8'
services:
agent:
image: privaterepo.local/devops-agent-win-generic:latest
hostname: '${AZPOOL}_Generic-{{.Task.Slot}}'
user: "NT AUTHORITY\\NETWORK SERVICE"
security_opt:
- "credentialspec=file://domain_devopsagent.json"
environment:
AZP_URL: ${AZURL}
AZP_POOL: ${AZPOOL}
AZP_TOKEN: ${AZTOKEN}
AZP_ONCE: ${AZONCE:-false}
AZP_REMOVE: ${AZREMOVE:-true}
deploy:
replicas: 2
placement:
constraints: [node.platform.os == windows]
这会很好地启动容器(没有错误),并且容器似乎NETWORK SERVICE按预期运行,但是它们无法按预期访问网络共享。
如果我手动运行容器,那么容器确实可以访问网络共享。
docker run --rm -it --user "NT AUTHORITY\NETWORK SERVICE" --security-opt "credentialspec=file://domain_devopsagent.json" privaterepo/devops-agent-win-generic:latest
这使我相信组合定义或 Docker Swarm 如何处理组合定义存在问题。
我也尝试过使用该credentialspec=raw://<json>版本——容器启动正常,但和以前一样无法访问网络共享。
知道出了什么问题吗?
我正在尝试为我们的 DevOps 管道设置一个 Docker 容器。我……几乎都明白了。
现在我有一个基于 Windows 的容器,它:
问题是我无法同时获得第 2) 点和第 3) 点。要启用 3),我必须准备一个组托管服务帐户,并且 docker 容器需要作为NT AUTHORITY\NETWORK SERVICE. 但是,当容器正在运行时,NT AUTHORITY\NETWORK SERVICE它似乎无法访问 Docker 管道。
知道如何让这两个东西同时工作吗?
我已经设法在我们组织的 Linux 和 Windows 主机上设置 Docker 以供内部使用。
现在我想设置一些“自我清洁”的 DevOps 工作代理;我已经在 Windows 主机上准备了一个基于 Windows 的 DevOps 代理映像,它拥有我们内部构建管道所需的一切,并且在启动时连接到我们的 DevOps。一旦启动,它将继续运行管道作业,直到手动停止。我也可以--once在启动代理本身时使用该标志,让它在关闭之前只处理一项工作(脚本有问题,但与这个问题无关)。
作为参考,我正在尝试设置此 MS 文档中一般描述的内容:
如果您希望每个管道运行都有一个新的代理容器,请将 --once 标志传递给运行命令。您还必须使用容器编排系统(如 Kubernetes 或 Azure 容器实例)在工作完成时启动容器的新副本。
我的问题是哪些本地编排系统能够处理重新创建停止的容器,哪些在设置方面是“轻量级的”?Kubernetes 被明确提及,但感觉它是一个非常庞大且复杂的系统,仅用于我们内部的 DevOps 管道(以及类似的工具minikube并且kind并不真正打算与 Server Core 主机一起使用)。Docker Swarm 似乎更容易设置,但我不确定它是否可以处理我想到的场景。
在公司,我们从来没有真正关心过根证书,并且认为这是与 Windows 更新一起管理的东西(并且有 WSUS),一切都很好。
然而,今天,我注意到一个全新的 Windows Server 2016 安装以及所有更新,似乎只有非常基本的根证书,以至于我什至无法打开谷歌(由于不信任他们的证书)。
(我还没有检查过全新的 Windows 10 安装...)
我对此感到有些困惑,因为这以前没有发生过。要么我们在 GPO 中做了一些糟糕的更改(但我想不出任何会产生这种效果的东西),还是这是最近更改的?我应该如何继续,以便可以毫无问题地访问诸如 Google 之类的东西?我现在是否需要通过 GPO 手动添加受信任的证书?
以下是全新服务器安装情况的一些屏幕截图。
在我进入细节之前:我的问题与这个问题中描述的问题明显不同。我正在运行单个 Azure Connect 实例,因此问题显然不是由于多次同步造成的。事实上,我们的系统从一开始就使用 Azure Connect,所以没有升级可言。
也就是说,我们组织的几乎每个成员都有一个本地 AD 帐户以及一个单独的 Office365 帐户。因此,在我们的例子中,Azure Connect 必须同步到现有的 Azure AD 帐户。
该过程适用于我们的大多数用户;但是,9 个帐户仍然存在问题,我无法弄清楚原因。
错误消息非常“标准”:
Nie można zaktualizować tego obiektu, ponieważ następujące atrybuty skojarzone z tym obiektem mają wartości, które mogą już być skojarzone z innym obiektem w lokalnych usługach katalogowych: [Mail [email protected];]。Popraw lub usuń zduplikowane wartości w katalogu lokalnym。Więcej informacji na temat identyfikowania obiektów ze zduplikowanymi wartościami atrybutów, można znaleźć w artykule http://support.microsoft.com/kb/2647098。
跟踪 ID:GUID ExtraErrorDetails: [{"Key":"ObjectIdInConflict","Value":["GUID"]},{"Key":"AttributeConflictName","Value":["Mail"]},{"Key ":"AttributeConflictValues","Value":["[email protected]"]}]
错误消息的“友好”部分是波兰语,但它是标准的“InvalidSoftMatch”错误。
现在,我知道我正在使用 SMTP 地址的软匹配...但是相关用户有明确定义的电子邮件(通过 AD 中的电子邮件属性;我们没有本地 Exchange 来使用 proxyAddresses 属性) . 同一用户在 Office365 Exchange 中具有完全相同的 SMTP 地址(以及同样相同的 SIP 地址)。不用说,我找不到任何其他提及此电子邮件在 Exchange Online 中使用的内容。
因此,我无法弄清楚为什么这个帐户没有被同步并不断抛出“软匹配”错误。
这个问题,也许和这个问题有点相似,但实际的计划是不同的。
我的目标是创建一个“临时”共享,人们可以在其中卸载数据(例如,当他们准备重新安装操作系统或需要快速与其他员工共享某些内容时)。
现在,虽然“临时”文件夹根据定义是“临时的”并且不应该用于长期存储东西,但我仍然想保持一些安全性。为此,我想授予我的用户(My.Domain\Domain Users)写访问权限(创建文件夹/文件),然后仅修改/删除对他们自己创建的文件/文件夹的访问权限。
我怀疑我需要使用“CREATOR OWNER”特殊主体。但是,我觉得要限制修改/删除功能,我需要向 NTFS 安全选项卡显式添加拒绝权限,并且拒绝规则 AFAIK 优先于允许规则,因此 CREATOR OWNER,即使授予完全许可,将无法实际进行更改。
我想要达到的目标有可能吗?
在继续完全同步我们的域之前,我正在一个小型“测试”域上测试 Azure AD Connect。
不幸的是,我遇到了一些问题。在我解决问题之前,这是我的设置:
似乎在我的本地 AD 中更改测试用户的密码(并等待同步)确实会更新 Azure 中的密码。但是,尽管启用了密码写回,但该操作似乎是单向的。以测试用户身份登录,我可以毫无问题地请求更改密码(并且这个新密码开始适用于在线登录),但是这永远不会在我的本地 AD 中复制(旧密码有效,新密码无效)。
在更改密码的同时发生了一个事件日志,但它并没有真正让我到任何地方。
TrackingId: 5a76d0fc-3248-42b6-9a7a-cf8265766f38, HeartBeat for Namespace: ssprdedicatedsbprodscu, Endpoint: 3333b860-8fed-4146-aaeb-682401d60e10_2f466786-5627-462d-bcf7-ffc4bf83e8a0, Details: Version: 5.0.0.1541
我还尝试使用 AD Connect 故障排除门户,但没有检测到任何故障。
知道如何继续调试/修复这个吗?
在我加入我工作的公司之前,有人决定为公司 LAN 使用 10.150.0.0/16 范围(尽管公司几乎没有那么多设备)。我认为他们当时的想法是使用第 3 个 IP 字节 (10.150.X) 来分隔各种基础设施类型,同时将它们全部保持在同一个网络上。因此,关键硬件组件(路由器、AP、主要 HyperV 主机)位于 10.150.0.X,主服务器位于 10.150.1.X,辅助服务器似乎位于 10.150.2.X,然后是 DHCP它将 IP 从 10.150.3.1 分配到 10.150.4.254。
这是一个相当广泛的范围,坦率地说,它有点混乱。尤其是 DHCP 将 IP 分配给从 PC、笔记本电脑、移动电话甚至开发服务器等所有设备。
我希望我可以尝试清理一下。我想利用 NPS 来设置各种策略(例如,主域服务器的策略与开发服务器的策略不同,这些策略与 WiFi 连接的设备的策略不同),然后使用该信息来分配不同的 IP 范围。除了,考虑到宽网络掩码,我不确定这是否可能。简单地尝试为具有相同网络掩码的另一个 IP 范围(例如,10.150.6.1-10.150.6.254)设置第二个 DHCP 范围会在 Windows DHCP 中引发错误,这在一般情况下是有意义的。
那么,我想做的事有可能吗?还是我唯一的行动方案是重新设计和重新配置整个网络?
有时,众所周知的粪便会击中风扇,我需要在笔记本电脑或其他东西上重新安装操作系统。这不是问题。
通常,我遵循以下程序:
我想知道...如果我跳过第一步并重新加入具有相同主机名的域会发生什么(如果有的话)?
我有一个在 Windows Server 2008 R2 上运行的域 - 有点旧,当然,但它运行得很好。
最近我注意到公司的机器似乎从 Internet 下载更新,而不是我们内部的 WSUS 服务器。
我已经开始调查,我注意到没有应用 WSUS 策略(使用 进行测试rsop.msc)。
政策设置正确 - 毕竟,他们以前工作过。
我想知道这是否是因为我们有越来越多的系统运行 Windows 10,但这感觉不对,因为我很确定几周前我的 Windows 10 也从本地 WSUS 下载了更新 - 你可以当 Windows 显示某些设置由系统管理员管理时,请告知这种情况。
gpupdate /force运行也不会在客户端机器上抛出任何错误。
此外,与 WSUS 相关的一个特定 GPO 仍在工作 - 它设置客户端定位。
有什么问题?如何尝试调试这些与 WSUS 相关的 GPO?
最近我们的内部 SMTP 中继服务器停止工作 - 或者更确切地说,停止发送电子邮件。它响应发送邮件请求,一个简单的 TELNET 会话显示没有错误,但所有消息都卡在它的队列中。
这一切都发生在我们的虚拟化服务器用完磁盘空间并暂停了很多机器之后。
我怀疑这是一个 DNS 问题。我能够在虚拟机(在我自己的工作站上)中设置一个工作中继服务器,但我必须将 8.8.8.8 配置为该机器的 DNS 服务器。
一旦我恢复到我们的 DHCP 分配的 DNS,我自己的邮件服务器就会停止。
不幸的是,似乎没有任何有用的日志。我不知道邮件服务器是否在解析某些域名或连接到某些 IP 时遇到问题。在我使用 Google DNS 的虚拟机上,日志包含发送消息请求,然后是一组用于中继的消息 - 即连接到另一个邮件服务器并转发电子邮件。在发生问题的实际服务器上,没有关于中继的消息。
不幸的是,托管邮件服务器的机器也是我们内部网络的主要 DNS 机器(别看我,我没有设置它),所以我不能只使用 Google 的 DNS 并收工 - 这样做我可能会破坏很多其他的东西。
知道什么可能是错的吗?或者 - 有没有办法找出消息没有离开队列文件夹的确切原因是什么?