Thomas's questions

我们有一个使用 Windows Server 2016 域控制器的客户。这是一家小型企业，因此他们的服务器基础架构由 Hyper-V 主机和此 DC 组成。DC 托管文件共享和 Azure AD Connect，用于将身份与 Office 365 同步。

我们监控事件 ID 4625 并设置警报阈值，以帮助我们识别针对网络的潜在暴力攻击。

去年 10 月，我们开始收到超出登录失败警报阈值的警报。经调查，我们对问题的描述如下：

• 每当我们的 VSS (Datto) 备份运行或 AADC 同步时，登录失败事件都会自然发生
• 备份成功，AADC 正常同步，没有错误
• 有两个账号登录失败：
  • SERVERNAME$（例如 SYSTEM 帐户）每当备份运行时
  • AAD_* 每当 AADC 运行时
• 事件状态为 0xC000006D - 用户名或密码失败
• 事件 SUB STATUS 为 0x0 - 状态正常
• 系统登录失败可以通过运行轻松复制vssadmin list writers

过去几个月的故障排除清单很长。这不是一个完整的列表：

• 卸载 RRAS 和 WID（包括删除 WID 文件夹以确保在重新安装角色时正确设置权限）
• 清除 SYSTEM 凭证缓存（使用 psexec & rundll32 keymgr.dll,KRShowKeyMgr- 没有缓存凭证）
• 使用 SQL Server Management Studio 登录 WID 并验证数据库权限（对于 LOCALSERVICE 和 NETWORKSERVICE 帐户）
• 调整各种注册表项的权限（这确实消除了应用程序事件日志中不相关的 CAPI2 和 WIDWRITER 错误）
• 运行 DCDIAG 并查看应用程序事件日志并清除任何错误和警告（包括 DNS 警告、添加 SPN 和重新注册 AD DNS 条目，以及运行 DFSR 的 D4 权威恢复以清除来自服务器迁移的警告）
• 使用 sysinternals ProcessMonitor 进行监控以识别任何拒绝访问或其他错误（这让我开始调整文件夹和注册表项的权限，以确保 LOCALSERVICE 和 NETWORKSERVICE（运行 WIDWRITER 和其他 VSS 服务的服务帐户）都可以访问）
• 验证 VSS 服务和编写器、AADC 等的服务启动类型和登录帐户。
• 停止服务并运行测试（停止 AADC 同步服务可解决所有登录失败问题。这就是我将其缩小到 AADC 的方式）
• 卸载 AADC
• 在 SQL Express 本地数据库上运行修复
• 使用我们的 MS 合作伙伴支持合同致电 Microsoft 支持 - 谁说“没有功能损失，并且您没有无法登录的实际用户，所以我们无法帮助您，注册高级支持！” （不好意思，SYSTEM不算重要用户吗？？？）
• 把我的头撞在几堵墙上和许多其他东西上

在所有这些过程中学到的有用的东西

• 卸载和重新安装 AADC 时，vssadmin list writers在安装过程中持续运行，错误在安装SQL 组件后立即开始，甚至在安装程序完成运行之前。
• 安装 SSMS 并登录数据库后，我也会收到登录时使用的 dom 管理员帐户的登录失败事件，尽管我的 SSMS 会话似乎不受影响。

该问题显然与 AADC 有关，因为我可以停止 AAD 同步服务或卸载 AADC，并且所有失败的登录事件都会消失。但是卸载 AADC 并删除 AADC 文件夹并清除 AADC 用户帐户并清除 AADC 注册表项以尝试获得真正的全新安装没有任何效果，当我重新安装 AADC 时错误会立即返回。

在这一点上，我束手无策，我不知道还能做什么，甚至不知道还能去哪里看。我希望以太中的某个人比我知道的更多（可能），或者以前经历过这种情况并找到了解决办法。

最后一点 - 服务器的 DNS 名称长度为 9 个字符，这意味着它与其 NETBIOS 名称不匹配。我不认为这是原因，但如有必要，我可以重命名服务器。对于生产中的 DC 和文件服务器来说，这只是一件令人头疼的事情。

我们有一个客户拥有一个 Windows Server 2008r2 RDS 场，该场由 2 个会话主机和一个连接代理组成。我们有一个 GPO，它将会话超时配置为计算机策略和具有环回处理（合并）的用户策略，该策略链接到包含会话主机的 OU。“活动会话”超时在计算机策略设置和用户设置中均设置为禁用。RSOP 确认 GPO 已应用于主机，本地组策略和注册表均确认已应用该设置。Active Directory 用户对象的所有会话超时都配置为“从不”。

但是，活跃用户仍然会在 8 小时后断开连接。他们可以立即重新连接到他们的会话，没有任何问题。

8 小时精确到可悲的秒数。它发生在网络上的多个用户身上。Connection Broker 日志和 Session Host 日志中都没有异常。它的行为与配置的 8 小时活动会话超时完全相同。

用户通过 RDS 网关从网络外的个人计算机进行连接。没有冲突的 GPO。本地计算机组策略中的设置保持不变。

既然我们有一个 GPO 并且配置了 AD 用户对象，那么什么可能会覆盖我的 GPO？

我们有一个运行 Server 2008r2 RDS 服务器的客户端。此服务器承载 RD Web 访问、RD 许可和 RD 会话主机角色。客户端还在服务器上安装了 XAMP 以托管内部公司门户。客户端不允许我们对 XAMP 服务器或配置进行任何更改，并且不能将 XAMP 卸载到另一台服务器上。他们根本不使用 RD Web 访问门户，我认为他们甚至不知道它的存在；他们只使用 Windows RDP 客户端手动连接。

这种共存根本不会影响最终用户，但它确实会导致 IIS 在每次启动时都会在事件日志中记录错误，因为它无法绑定端口 80。这对我们来说是一个小不便，因为我们的监控代理会记录一张票每次发生这种情况。

到目前为止，我的调查发现的信息很少，但我最好的选择似乎是更改 IIS 默认网站绑定到 80 以外的任何端口的端口，或者完全禁用默认网站。但是，我没有 2008r2 测试环境可供使用，而且我不确定这些更改中的任何一个会如何影响他们的 RDS 服务；具体来说，我不知道会话主机或许可服务器角色对 Web 访问服务器存在的依赖程度。

我更改 IIS 绑定端口或禁用默认网站会有什么影响吗？

我只是遇到了一些新创建的共享邮箱没有在 ProofPoint 中使用 LDAP 导入正确配置的问题。我将问题缩小到此 AD 属性msExchUserAccountControl设置为 2（禁用），以及使用该属性过滤禁用帐户的导入配置文件。

我知道在创建共享邮箱时 AD 对象本身被禁用（AD 属性Enabled= False），这是使用共享邮箱的很大一部分原因，但为什么邮箱也在 AD 对象上被禁用？

我们设置了一个 ADFS 2.0 实例。我们将其用于 3rd 方网络应用单点登录。一切都与现有的应用程序完美配合，App1 与 SAML 2.0，包括当用户被重定向到我们的 ADFS 服务器时的 IWA 传递。

我刚刚使用 SAML 2.0 为另一个应用程序 App2 配置了第二个信赖方信任。我们使用所有默认 ADFS 设置，包括端点。在这个应用程序的 SAML 配置页面上，我告诉它我们的 SAML 端点是“ https://adfs.mydomain.com/adfs/ls/ ”。一切正常，除了提示用户输入凭据；ADFS 未对这些登录使用 IWA。

我正在使用 IE9 从本地加入域的工作站进行测试。内部 DNS 指向我们本地加入域的 ADFS 服务器，外部 DNS 指向我们的 DMZ ADFS 代理。“*.mydomain.com”位于 IE 的受信任站点区域中，由 GPO 应用。在 IE 中启用了 IWA。IE 每次关闭它时都会清除它的缓存/cookies/历史记录。两个应用程序都使用 SP 发起的登录，并且都将它们的断言发送到我们端的同一个端点 URL。

如果我尝试在干净的会话上登录 App2，我会看到一个 ADFS 登录页面。如果我输入凭据，我将登录到应用程序并可以继续。

如果我尝试在干净会话上登录 App1，我会立即重定向到 ADFS，通过 IWA，我已登录到应用程序并可以继续。

如果我在登录 App1 后尝试在同一个会话中登录 App2，我被重定向到 ADFS，使用由 App1 发起的现有 ADFS 登录会话，然后我立即被重定向到 App2 的断言消费者服务 URL并给出一个错误页面。

我最好的猜测是我在 RPT 配置中遗漏了一些东西。SP 给我的只是他们使用 POST 绑定的消费者服务端点 URL。我不得不猜测索赔规则。SP 不使用加密。

App2 客户服务一直......很困难。他们的技术支持在海外，所以我每天只能在当地时间午夜左右收到一次回复。他们的大部分回复都是标准的“从知识库复制和粘贴”。他们更喜欢 IdP 启动的登录，但表示他们支持 SP 启动 - 这似乎是真的，因为 SSO 在 ADFS 登录页面上登录后确实可以在干净的会话上工作。

有人知道我错过了什么吗？

我将接替之前的管理员，他在我们的 Active Directory 基础架构中创建了多个 DFS 命名空间。之前的管理员没有记录我们 DFS 的任何结构，所以我什至不知道我的 DFS 命名空间服务器是什么。我能够找到一个，通过一个一个地登录文件服务器，直到我找到一个运行 DFS 命名空间服务的服务器——当我好奇的眼睛应该出现的时候，除了 2 个命名空间，其中只有一个是域命名空间。

我的任务是记录我们的 DFS 基础架构，但如果我一开始就找不到我的命名空间服务器，那么这项任务似乎是不可能的。

我们在整个环境中相当一致地运行 Windows Server 2008r2。我们总共有 6 个域命名空间。

:EDIT:
到目前为止，我已经通过 DFS 管理 MMC 管理单元费力地进行了搜索。我也尝试过使用 DFSUtil。我也做了强制性的互联网搜索，没有有用的结果。我应该注意到，在我 8 个月前开始这项工作之前，我之前从未使用过 DFS，并且在这次分配之前，我只进行了一些小维护——添加新的文件夹目标等。所以我可能错过了一些明显的东西.

我们正在重新安排我们目前的办公室，以节省租赁费用。这将在本月底停止使用十几个会议室。

我被要求配置这些资源邮箱，以便它们在 3 月 31 日之后不会接受任何请求。我认为 EMC 中有一个选项可以编辑资源策略以执行此类操作，但我可能只是对 Booking Window 选项感到困惑。在任何情况下，是否有一种简单的方法来实现这一点，不需要在每个日历中手动创建“不可用”会议？

如果我需要对 Exchange 公用文件夹执行某个过程，例如更改权限，但我没有公用文件夹的完整路径（大多数公用文件夹命令的 -identity 参数中都需要此路径），我该如何得到完整的路径？

我发现的一些资源建议使用 powershellget-publicfolder -recurse并过滤结果，但在一个拥有数千个公共文件夹的大型组织中，该命令可能需要几个小时，如果它完成的话。

在我目前工作的公司终止用户的过程包括远程擦除任何 ActiveSync 设备，然后删除 ActiveSync 关系。我正在编写一个 PowerShell 脚本来自动化该过程，当我在发送 clear-ActiveSyncDevice cmdlet 后发送 remove-ActiveSyncDevice cmdlet 时，我收到“设备正在等待擦除”的警告。

如果我移除设备，是否会取消任何待处理的擦除命令？

为了找到答案，我做了尽可能多的网络搜索，但我没有运气。如果删除设备会取消擦除请求，我会假设 Exchange 会给我一个信息更丰富的警告，但由于警告中的细节太少，我无法确定。

:edit:
只是想我会添加更多关于我已经完成的研究的细节。
MS Technet 关于 remove-activesyncdevice 的
文章 MS Technet 关于 clear-activesyncdevice 的文章

我已经使用多个搜索引擎使用我希望用于此查询的关键字进行了多次网络搜索。我还搜索了 Technet 上的 Exchange TechCenter（我还没有在那里问过这个问题）。我还问过我工作中的几位同事，他们都认为在删除伙伴关系后仍会处理擦除命令，但他们都没有任何引用来支持这一点。

背后的故事。
所以我们有一个开发工程师（他恰好可以访问域管理员帐户）在我们的域上设置了一些 DHCP 服务器。这引起了头疼，因为新的 DHCP 服务器已在我们的域上获得授权并具有权威性。

这些服务器是临时的，正在移动到另一个第三方站点。我们已经解决了这些令人头疼的问题，并制定了一个时间表，以便在搬迁前取消对他们的授权。我的工作是在移动服务器时取消对服务器的授权并清理任何剩余物。

一台服务器已被停用（角色已从域中删除和删除）。这意味着这必须是我的操作顺序（对于第一台服务器）：
1. 从恶意服务器中删除 DHCP 服务角色。
2. 从我们的域中删除流氓服务器。
3. 在 DHCP mmc 中取消授权流氓服务器。
我宁愿在从中删除角色之前取消对服务器的授权。我可以对稍后移动的其他 2 台服务器执行此操作。继续...

另一个系统管理员在我之前工作，她表示担心 AD 会将 AD 信息/对象与 DHCP 服务器同步。我不知道 AD 将任何内容同步到DHCP 服务器，但另一个系统管理员提到它让我（和我的经理）担心。我的经理想要完全确定一旦恶意服务器被淘汰和移出，它们上就没有 AD 数据，包括对运行 DHCP 服务的域帐户的任何引用。似乎重建服务器（以在将它们移到异地后彻底消除任何安全问题）不是一种选择。我（尚）不知道他们运行的是哪个版本的 Windows Server。

所以问题是：
操作顺序需要纠正或清理什么？
是否有任何AD 数据（包括日志，尽管它们的位置通常非常标准）需要从已停用的 DHCP 服务器中清理？
是否会引用运行 DHCP 服务的域帐户，我在哪里可以找到这些来清理它们？

我在一个只有一个公共 IP 地址的网络上有两个独立的 Web 服务器，它们有两个不同的内部 IP 地址。一个是 Windows Small Business Server 2011，另一个是新的电子邮件加密网关设备。

我为 remote.domain.com 和 securemail.domain.com 配置了子域，它们都指向同一个公共 IP。我需要这两个子域都指向端口 80 上的正确内部服务器。

我已经在指向适当 IP 地址的 SBS 服务器上配置了正向查找区域。我有一个 SonicWall NSA 220 防火墙。我有防火墙规则将 80 重定向到 SBS 服务器，但我设置了一个覆盖规则以将 80 重定向到网关设备，直到我可以同时运行这两个服务。

我引用了这个线程，但我的情况非常不同，对它的响应不适用。

提前致谢！

因此，我们正在为我们的客户端在大约十几台机器上运行带有 Exchange 2010 和 Outlook 2010 的 SBS（一台运行 Outlook 2003，我们试图说服他们升级）设置加密电子邮件。这对我来说是一个新领域，我的同事只熟悉第 3 方加密解决方案。

我的研究表明 Outlook 本身就支持加密，我们所要做的就是获取证书并将其加载到 Outlook 中，然后我们就可以开始了。

3个问题：

• 我的结论是正确的还是需要更多配置？
• 是否可以将单个证书用于所有工作站并通过 GPO 推出？
• 对于不在域中的远程用户，是否有一种简单的方法来为 Outlook 编写脚本/自动执行证书导入过程？使非技术最终用户超级容易的东西。

我在 Outlook 中发现的有关加密的众多来源之一，全部针对单个用户案例：http: //voices.yahoo.com/how-configure-outlook-2010-send-signed-or-11403564.html ?cat= 15

：编辑：为清楚起见，从我下面的评论中复制。
好吧，我想这对我来说是一个新领域，部分原因是我缺乏适当的词汇:)
在这一点上，我不知道哪种安全方案是最好的。我们的客户是一家产权公司，他们合作的其中一家公司要求我们实施安全电子邮件。是的，它就这么含糊不清。在我进行研究时，我发现加密来自 Outlook 客户端的电子邮件是我搜索的最常见结果，因此我专注于此，这就是我要问的问题。
但是，如果有更好的解决方案可以在 Exchange 中实施，我会洗耳恭听！