MrVimes's questions

我有一个新服务器（Windows Server 2019），我正在尝试将其添加到旧的 NLB 集群（它设置在以前不包含任何比 Windows Server 2003 更新的服务器的服务器上）

在集群现有成员的 NLB 管理器中，我可以加载集群。如果我尝试添加新机器，它会尝试一段时间，然后给出三个日志条目，一个用于新机器的每个 NIC...

无法读取接口“{long guid}”的配置：错误 0x8004100a

（每个网卡一个）

我已经尝试从新服务器上解决这个问题 - 我可以加载集群，我可以将此服务器添加到集群中，但是一旦我这样做了，NLB 管理器就无法从其他主机加载配置。特别是我最后一次尝试它时，我得到host is misconfigured了其他主机之一的错误（这是一个主机多年来一直在集群中没有问题）。

如果我从集群中删除新主机并刷新集群，它会毫无问题地加载其他主机。

我已经对新服务器中的网络设置进行了四次检查，但找不到任何冲突。

所有服务器都没有加入域，但这从来都不是问题（只要它们都具有相同的用户名\密码，或者在添加到 NLB 时指定了本地帐户的用户名\密码）

我当然尝试过用谷歌搜索这些错误，但运气不佳。

编辑：我现在尝试通过手动输入集群的 IP 地址作为新服务器中的额外 IP 来手动“加入”集群，然后单击网络属性屏幕中的“网络负载平衡”复选框。这似乎可行，但如果我在其他服务器之一上打开 NLB 管理器，它会显示此主机无法访问，并且我无法 ping 它。

一旦我撤消了这些手动更改，我就可以从其他服务器之一很好地 ping 服务器。

似乎尝试加入集群会使服务器无法被其他服务器检测到。

我正在尝试将 NGINX 服务器设置为反向代理，以便可以通过 TLS 1.2 连接到仅限于 TLS 1.0 的旧 IIS 服务器

端口 80 上的连接工作正常。但是502 Bad Gateway当我尝试通过 https 连接时，我得到了。当我查看 NGINX 错误日志时，我看到了这一行......

*364 peer closed connection in SSL handshake while SSL handshaking to upstream

下面是我对反向代理的配置。（注意，网站 url 和公共 IP 已更改以保持匿名）

 server{
        listen 80;
        listen [::]:80;
        server_name www.mywebsite.com;

        location /{
                proxy_set_header Host "www.mywebsite.com";
                proxy_pass http://192.168.201.235:80/; 
        }
}

server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;

        server_name www.mywebsite.com;

        ssl_certificate "/etc/pki/nginx/mywebsite.crt";
        ssl_certificate_key "/etc/pki/nginx/private/mywebsite.key";

        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;

        location / {
                proxy_set_header Host "www.mywebsite.com";
                proxy_pass https://192.168.201.235:443/;
        }
}

在代理和目标服务器之间仍然安全连接的同时，我能做些什么来解决错误的网关问题？

我可以直接通过 HTTPS 连接到 IP 地址，并且如果我在另一个启用 SSL 的网站之后proxy_pass它也可以工作。

我曾尝试在 google 上搜索此问题的答案，但到目前为止，没有任何匹配结果与我的情况足够相似，无法提供帮助。

我们有一个临时情况，在美国有一个远程办公室通过 vpn 连接到英国的服务器（域控制器、文件服务器等）

为了尝试改进远程办公室的工作，我最近将他们的一台计算机设置为本地文件服务器。为了使它看起来更合适，我给计算机提供了第二个 DNS 名称，这样\\computername他们就可以通过\\localfileservername（对于这个 SF 问题更改了实际名称）而不是通过它来访问它

这工作了一段时间。但是现在，当我尝试访问时，\\localfileservername我得到“当前没有可用于服务此登录请求的登录服务器”，但如果我通过\\computername它访问它就可以了。

奇怪的是，当我通过\\ipaddress

另外，为了改善这种临时安排，我在远程办公室机器的主机文件中设置了许多服务器，并在设置后将这个临时文件服务器的名称添加到主机文件中（以及如在 DNS 服务器中）。

所以我的问题是，计算机有两个名称会导致这个问题吗？有什么我可以做或检查来改善这种情况或摆脱这个错误。

顺便说一句，在可以访问域控制器的情况下，我发现此错误通常更频繁地发生。

我已经尝试按照谷歌上找到的指南来了解当 WSUS 内容文件夹变得太大时该怎么办，但我仍然被大量的 WSUS 内容文件夹（141gb）所困扰

我尝试的最后一件事是重置方法（停止服务、删除所有文件、启动服务、运行 wsus 重置命令），但第二天，wsus 内容文件夹又恢复到以前的大小。

我有我能确定的最小分类，只有一种语言，我把它设置为只下载被批准的更新。

（而且它没有在分类中显示 Windows 10，但这是一个单独的问题）

有什么想法我能做什么？除了接受我的命运并发展它所居住的动力吗？

我正在考虑设置“不要在本地存储更新文件；计算机从 Microsoft Update 安装”，但这意味着互联网使用量增加。

编辑：此外，我发现了最大的文件，发现它们是用于 SQL Server 2012 的。从分类中取消选中 SQL Server 2012，然后运行服务器清理向导。它释放了0 MB！

我有一个 GPO，它直接位于组策略管理器树中的域下。这意味着它适用于域中的所有 OU。（这不是我做的）

“交互式登录：用户尝试登录的消息文本”策略在此 GPO 中包含一条安全消息。

我希望能够为一两台服务器关闭此消息，以便我可以自动登录它们（该消息会干扰此）

有没有一种方法可以在不重新组织整个域 OU 树的情况下覆盖特定计算机的此策略？

大多数策略都有一个“启用”或“禁用”选项，可以使用直接应用于 OU 的更具体的“禁用”覆盖“启用”，但在这种情况下，这似乎是不可能的。

我有一个属于域成员的 Windows 2008R2 服务器。前几天我发现它的时间与域控制器的时间相差七秒。我运行了以下命令...

w32tm /config /syncfromflags:domhier /update

net stop w32time

net start w32time

然后我重新启动服务器只是为了确定。服务器上的时间很快就“正确”了。但是一两天后，服务器又偏移了 3 秒。

此域上的所有其他成员服务器都很好（时间同步到一秒钟之内）

我检查了 regedit 中的设置，“类型”键显示“NT4DS”，我认为这对于从域同步的服务器是正确的。该文件夹下的所有其他注册表项都与工作服务器匹配。

我相信所有正确的端口在服务器和域之间都是开放的。服务器没有其他与域相关的问题。

服务器是虚拟的 (VMware)。虚拟机未设置为与主机同步时间。大多数其他服务器（没有这个问题）也是虚拟的，在同一个主机对上。

有任何想法吗？或者我可以检查以验证配置的任何其他区域？

编辑： 新信息。我刚跑w32tm /query /status就得到了这个...

跳跃指示器：3（最后一分钟有 61 秒）

层数：0（未指定）

精度：-6（每滴答声 15.625 毫秒）

根延迟：0.0000000s

根色散：0.0000000s

ReferenceId：0x00000000（未指定）

上次成功同步时间：未指定

来源：自由运行的系统时钟

轮询间隔：10 (1024s)

在另一台服务器上，“源”参数列出了域控制器。因此，这台服务器出现问题肯定有一个“好的”理由。我将自己对此进行调查，但在这里提供它是为了让那些关注这个问题的人受益。

编辑以提供时间同步任务历史的屏幕截图...

我想问一下在 NLB 负载平衡配置中运行 IIS6 的两台服务器上安装 SSL 证书的正确程序是什么。

昨天我按照我认为正确的程序安装了证书。此后不久，我的 iphone 上出现了证书错误（但其他地方都没有 - chrome、IE、firefox 都很好）

从那时起，该网站的 SSL 也没有在我的 iphone 上产生错误（Safari、chrome），但我不相信我已经正确地完成了这件事......

• 在 IIS 6 中，使用更新选项请求证书。

• 使用生成的 CSR 获取证书（来自 godaddy）

根证书....

• 使用获得的证书，在 IIS6 中完成挂起的请求。

• 仍然在 IIS6 中导出证书。

• 在另一台服务器上 - 将证书导入到 MMC 中证书管理单元中的“个人证书”存储中。

• 在 IIS6（仍然是其他服务器）中选择“更改证书”选项，然后选择新导入的证书。

中级证书...

• 将中间证书导入“中间证书颁发机构”

• 在这里我不确定我是否做对了——我没有导出导入的中间证书，然后将其导入另一台服务器。而是 - 我只是再次导入了相同的文件。我这样做是因为我似乎记得过去学习不需要为中级证书进行进出口。（另外，直到今天我仍然不完全理解中级证书的目的/要点是什么。我相信它是为了支持非常旧的浏览器而提供的？）

所以我的问题是——我做对了吗？这是在运行 IIS6 的负载平衡服务器上更新 SSL 的有效程序吗？

编辑： 经过进一步调查（在https://www.ssllabs.com/ssltest/的帮助下）我发现第一台服务器上不存在中间证书（我本可以发誓我安装了它们，但显然我没有）我现在已经安装了它们，并且我的站点通过了每台服务器的“附加证书”测试。

我知道如何降级域控制器（以前做过），但我需要在一个比我之前做的更“重要”和严格控制的域上为两个物理旧 DC 做这件事。我的问题是我应该运行哪些额外的检查以确保在我降级域控制器后不会中断。

有问题的域主要是虚拟化的（包括两个新的 DC）。其中一个新的 DC 已经拥有 FSMO 角色一段时间了，没有任何问题，它是域的权威时间服务器。当我运行 dcdiag 时，它只失败了一项测试 (NCSecDesc)。这个特定测试的失败是可以接受的，因为我们永远不会在这个域上拥有 RODC。所有成员服务器的 DNS 设置都指向新的 DC。

作为降级前的实验 - 我可以关闭这些 DC 一段时间以查看域在没有它们的情况下继续运行吗？这不会导致复制问题或其他问题吗？

我很抱歉问了一个似乎很容易用谷歌搜索的问题，但我已经尝试过了，甚至微软自己关于 W32tm 的文章似乎也没有提到它。

我最近一直在为现有域上的新 DC 配置时间同步（以替换持有 FSMO 角色并设置为可靠时间源的旧 DC）

在一个成员服务器上，我在运行时看到了大约 4 秒的 Root Dispersion，w32tm /query /status这让我有点担心，所以我想找出它的含义。

这似乎是一个愚蠢的问题，但很多年前，我不知何故进入了我的脑海，也许是通过阅读一篇文章或与“知情”的人交谈，计算机不应该以“奇数”数量运行ram，例如 3、5、7 等……这有什么道理吗？

我有一个 vmware 环境，里面有很多服务器。我想通过并更改 ram 的数量以减少整体 ram 的使用，并且在许多情况下，我想为服务器提供 3gb 的 ram，而不是 4 或 2。

我一直在将用户配置文件从一台服务器移动到另一台服务器。对于这个问题，我们称他们为“oldserver”和“newserver”，用户是“jbloggs”

当用户退出时...

使用 robocopy将 jbloggs ( \\oldserver\users\jbloggs) 的整个配置文件复制到新服务器。

完成后，将旧文件夹重命名为“moved_jbloggs”

然后进入活动目录并将“配置文件路径”更改为\\\newserver\users\jbloggs\profile“主文件夹”“连接 U：”为\\newserver\users\jbloggs

我还将组策略“重定向我的文档”设置从\\oldserver\users更改为\\newserver\users

但是当 jbloggs 登录时，在 oldserver 中创建了一个新文件夹！ \\oldserver\users\jbloggs\jbloggs's documents

有谁知道什么会导致在旧服务器上重新创建用户文件夹？是否需要采取进一步措施？

我需要尽快淘汰文件服务器。

我想知道是否有正确的方法将部门共享和用户配置文件文件夹以保留所有文件夹和子文件夹权限设置的方式传输到新服务器？

其次，这样做时是否有任何“最佳实践”可以遵循？

这让我难以自拔。

我无法在一台服务器上的特定主机/ip 上远程登录/paping 端口 25。我可以从同一网络上的任何其他计算机远程登录/粘贴它。

我试过完全禁用防火墙。

我可以正常 ping 主机（使用默认的 ping 命令）

我可以ping主机上的80端口。

此服务器与同一网络上的其他服务器没有什么不同（它具有相同的默认网关，相同的 dns 服务器）

我只是无法在端口 25 上 ping 这台主机或其他任何东西。

有任何想法吗？

编辑 我想我需要像 tracert 这样的东西来告诉我连接在哪里被阻止。

编辑经过太多小时的撕扯我的头发，我发现它被本地机器上的 Mcafee Antivirus 阻止了。我已经为 cmd.exe 和 wscript.exe 添加了例外，我现在可以连接到该端口。

我一直在限制负责高带宽和点击的 IP 地址（确定属于从我们站点抓取数据的公司）。只要我在拒绝模式下将 ip 添加到列表中，服务器的 cpu 使用率就会达到 100%，持续 10 秒左右。当您在 iis7 中拒绝 IP 时是否应该发生这种情况？（CPU 使用率是由拒绝 ip 所涉及的底层进程引起的吗？）

另一个问题 - 是否存在使用此方法阻止 IP 实际上会损害服务器性能的情况？（将主机请求、下载数据和重复的情况替换为 ip 请求、被拒绝和立即不断尝试的情况。比被阻止之前快得多）

我有一台连接到 SAN (Dell Compellent) 的服务器，由于空间问题，我正在考虑将一些物理磁盘安装到该服务器中，以“卸载”SAN 上服务器使用的一些数据。服务器有几个使用 SAN 的卷，其中之一是操作系统/系统驱动器。我想将其保留在 SAN 上，但将所有其他卷替换为物理磁盘。

我计划使用另一台服务器预先清除磁盘，并为了安全起见离线安装它们（即不热插拔它们）。

我的问题是 - 只需插入磁盘就可以了（然后我可以在 Windows 的磁盘管理器中格式化和配置它们）还是我需要使用在操作系统之前加载的 RAID 配置软件来配置它们（我有服务器 RAID 设置的经验很少）

有问题的服务器是运行 Windows Server 2008 Standard 的戴尔 poweredge 1850（目前不确定是哪一代）。

可能重复：
你能帮我解决我的软件许可问题吗？

我们正在寻求建立一个虚拟化环境。正如我假设的标准，这将包括多个物理服务器来运行虚拟机。我也认为这是标准的（我可能错了，如果我错了请纠正我）服务器将采用主/故障转移类型安排。这意味着虚拟机将在一个上运行，如果服务器出现故障，虚拟机将切换到另一个。

我的问题是，我是否需要为 Windows Server（可能是 2008 r2）购买两个数据中心许可证才能运行此安排？