Chris J's questions

我们设置了一个 2008R2 IIS 服务器，其中一个站点配置为需要客户端证书。我们的测试客户端不工作，我们正在尝试调试原因。

在此过程中，我们设置了一个新的 Server 2008 R2 机器（是的，我知道它很旧，但这是运行该软件的机器）来尝试复制或确定排除故障的方法。

我们正在研究的一种方法是 TLS 握手。测试应用程序是用 .NET 编写的，并且System.Diagnostics启用了适当的调试，这会将以下条目放在日志文件中：

System.Net 信息：0：[22724] SecureChannel#48979325 - 我们有用户提供的证书。服务器已指定 10 个颁发者。寻找与任何颁发者匹配的证书。

我们看不到这个发行者列表，所以我们破解了 OpenSSL。运行以下命令：

openssl s_client -connect win2k8r2-1.hsl10690.test:443 -state -no_ticket -servername win2k8r2-1.hsl10690.test

导致输出表明：

   [...]
-----END CERTIFICATE-----
subject=/CN=testcert.hsl10690.test
issuer=/CN=Internal Dev CA 1
---
No client certificate CA names sent
---
SSL handshake has read 1013 bytes and written 329 bytes
   [...]

所以我们有一个不匹配的地方，微软堆栈声明服务器指定了 10 个颁发者，但 OpenSSL 报告服务器没有发送任何 CA 名称。

对于实时系统，System.Diagnostics 日志报告服务器指定的 130 多个颁发者，但 OpenSSL 仍然返回零。

我们认为问题在于我们提供的客户端证书与其中一个颁发者不匹配（但我们已经验证根在服务器的信任库中，并且我们已经在服务器外部验证了证书）。在实时服务器上，我们在“服务器已指定... ”消息之后的日志中看到了这一点：

System.Net Information: 0 : [36484] SecureChannel#33675143 - We have user-provided certificates. The server has specified 133 issuer(s). Looking for certificates that match any of the issuers.
    ProcessId=20372
    DateTime=2018-12-20T13:33:39.9042036Z
System.Net Information: 0 : [36484] SecureChannel#33675143 - Left with 0 client certificates to choose from.
    ProcessId=20372
    DateTime=2018-12-20T13:33:39.9052036Z

在进行测试时，如果一切正常，它会说：

System.Net Information: 0 : [22724] SecureChannel#48979325 - We have user-provided certificates. The server has specified 10 issuer(s). Looking for certificates that match any of the issuers.
    ProcessId=22100
    DateTime=2018-12-21T13:52:23.3718249Z
System.Net Information: 0 : [22724] SecureChannel#48979325 - Selected certificate: [Version]
  V3

[Subject]

我们如何找出服务器返回了哪些证书，如果我们发现颁发者从列表中丢失，是什么阻止了根被包含在内？我不排除我们错过了一些明显的东西，但我们还没有看到它。

对于那些不知道的人来说，CPU 停放是最近 Windows Server 版本中的一项功能，它允许 Windows 几乎将 CPU 内核降至零使用，并且没有任何使用它。它是作为省电措施引入的。除了其他地方之外，还有更多关于它的细节。

然而，我很好奇的是，这对于虚拟客户来说是不是问题 - 或者 CPU 停放更多的是障碍而不是帮助，因为物理 CPU 是由 ESXi 管理的，而不是 Windows，并且停放的 CPU 不太可能处理流量，除非调度程序认为有足够的工作来解除 CPU 的停放？

我对此一无所知 - 我确实怀疑它很大程度上取决于给定的工作负载，但我没有看到任何讨论（不像，比如说，超线程是否有任何影响，这似乎是定期讨论)。虽然我确实理解“用你的工作量进行测试”，但我想知道是否有任何我错过的建议/指南。

是否有任何 DNS 软件可以有条件地翻译传入的响应？

基本上我们有一个劫持 NXDOMAIN 的公司 DNS 服务器。尽管这很糟糕，但它并没有真正影响大多数日常活动。然而，它会导致某些 3rd 方软件出现问题，导致它有时会出现异常行为。

现在 - 我试图将其更改为无济于事。所以我想做的是在测试环境前面放置一个 DNS 代理，它除了充当 DNS 转发器之外什么都不做，但具有在接收到特定 IP 时能够返回 NXDOMAIN 的附加功能响应 A 查找的地址。

我无法覆盖 DNS - 如果我需要进行外部查询，则它们必须通过公司 DNS（DNS 请求受防火墙保护）。

除了花费大量精力尝试关闭此行为之外，是否有任何东西可以做到这一点（我看过 BIND，但它可以做到这一点并不是很明显；类似的 dnsmasq 也是如此。如果这些可以做到，然后我的 google-fu 失败了，只要指点我说“这就是你如何做”的文档就很棒，ta :-)）。

为了支持我们的 Server 2003 开发服务器上的某些构建过程，我们需要一个具有管理权限的通用用户帐户。

不幸的是，这也意味着任何知道密码的人也可以在服务器上获得管理员权限。假设尝试对密码保密是一项失败的练习。需要管理员权限的开发人员已经拥有管理员权限，因此应该能够以自己的身份登录。

所以问题很简单：有什么我可以配置来防止人们（ab）使用该帐户在他们不应该拥有管理员的服务器上获得管理员？我知道开发人员可以禁用任何已经到位的东西，但这取决于处理和审计来跟踪和管理。

我不介意在哪里或如何：它可以通过本地安全策略、组策略、在用户配置文件中执行的批处理文件或其他方式。

谁能指出我，或者有谁知道 SQL Server 的这个“功能”是什么？搜索它（也用于“超级扫描”，这似乎是该功能的同义词）除了 SQL Server 存在的所有版本比较页面之外，没有显示任何信息。

我也不确定这是 stackoverflow 还是 serverfault 问题。我将首先在 serverfault 上尝试，但如果人们认为 stackoverflow 可能是一个更好的论坛，请给我留言 - ta :-)