在我拥有有效Azure AD Premium 2许可证的 Azure AD 租户中,我启用了Self-Service Group Management。
用户能够创建安全组,然后使用可用选项之一配置成员资格策略:
- 此组需要所有者批准
- 该群组对所有用户开放加入
- 只有该群组的所有者才能添加成员
这也可以在 Azure AD 门户中配置吗?如果有,在哪里?
我们有一个 Microsoft Active Directory 证书服务企业CA。
安装服务后,会在其中创建一个 AD 容器CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=ad,DC=example,DC=com
我们的 CDP 仅支持 http。没有添加 LDAP 路径。我应该保留还是移除这个容器?
我们的 AD 域中有两个中间企业 CA (Windows AD CS)。两个 CA 都只启用了证书颁发机构角色。
CA1 负责向工作站和用户颁发证书,并具有模板Workstation Auth。
CA2 负责向服务器颁发证书,并有一个模板Server Auth。
自动注册在我们域中的所有工作站和服务器上启用并且正在工作。
问题:
工作站应仅针对 CA1 进行自动注册
,服务器应仅针对 CA2 进行自动注册。
我想使用组策略来实现这一点。
我知道我可以只允许安全组成员在模板上自动注册,这会奏效。
但是,我更喜欢使用组策略的解决方案,因为我们将工作站和服务器组织在不同的 OU 中。我可以使用 OU 上的组策略来定位这两个组。安全组解决方案需要我们在此基础上管理两个新的安全组。
是否可以将工作站或服务器配置为仅从特定企业 CA 自动注册?如果可以使用组策略来实现,我对替代方案持开放态度。
我有一个必须需要经理批准的证书模板(自动注册)。
为此,我选中了颁发要求选项卡中的CA 证书管理器批准复选框。
计算机会自动注册,并且证书被放置在CA的挂起队列中。
我的愿望是,一旦挂起的证书被手动批准,证书应该更新,或者如果模板主要版本增加,则无需经理批准。但我无法让它工作。
当我增加证书的主要版本时,该请求永远不会自动发出,而是再次放入待处理队列以进行手动发出。
我尝试将与注册相同的标准更改为有效的现有证书,但这并没有改变任何东西。
为了加快我的故障排除速度,我曾经certutil -pulse在请求计算机上启动自动注册过程。
编辑:
受影响服务器上的自动注册策略:
我有一个基于 Windows Server 2019 Core的独立根CA。
我知道certutil.exe -dump certificate.req我可以检查 CSR,但根 CA 的策略可能会覆盖请求的扩展属性。
在桌面版中,将 CSR 导入根 CA 后,我可以检查挂起的请求,并查看根 CA 策略可能覆盖请求的扩展属性、添加其他扩展或删除它们的位置。
例如,CSR 请求密钥使用扩展为关键,但根 CA 策略覆盖密钥使用请求并删除关键标志,如下图所示。
我的问题是:
- 如何在命令行或 PowerShell 中将 CSR 文件导入待处理的请求队列?
- 如何在命令行或 PowerShell 中查看 CA 实际颁发证书的方式?
我有一个独立的根 CA (RootCA) 和一个企业从属 CA (SubCA)。两者都是 Windows Server 2019。
RootCA 在尝试签署 SubCA 的 CSR 时似乎忽略了 CAPolicy.inf 文件配置设置,如待处理请求属性视图中所示:
RootCA ( %SystemRoot%\CAPolicy.inf) 上的 CAPolicy.inf 是这样的:
[Version]
Signature= "$Windows NT$"
[Strings]
szOID_KEY_USAGE = "2.5.29.15"
[Extensions]
%szOID_KEY_USAGE% = AwIBhg==
Critical = %szOID_KEY_USAGE%
在 RootCA 安装期间,CAPolicy.inf 用于使根证书的 KeyUsage 扩展至关重要。这可以在根证书属性以及 certocm.log 中看到:Opened Policy inf: C:\Windows\CAPolicy.inf
该文件指出
CAPolicy.inf 是一个配置文件,它定义了应用于根 CA 证书和根 CA 颁发的所有证书的扩展、约束和其他配置设置。
那么,为什么 RootCA 在颁发(SubCA)证书时会忽略 CAPolicy.inf,尽管文档另有说明?
我正在尝试为新的 Windows AD CS Enterprise 从属 CA(Windows Server 2019)手动创建密钥和 CSR。
我想将密钥存储在现代Microsoft Software Key Storage Provider中。
它失败了Provider type not defined. 0x80090017 (-2146893801 NTE_PROV_TYPE_NOT_DEF)。
我使用的命令是:certreq.exe -new C:\requestconfig.inf C:\certificate.req
C:\requestconfig.inf文件是这样的:
[Version]
Signature= "$Windows NT$"
[NewRequest]
Subject = "CN=My Subordinate CA"
HashAlgorithm = sha256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "Microsoft Software Key Storage Provider"
KeyContainer = "My Subordinate CA"
ExportableEncrypted = true
MachineKeySet = true
RequestType = PKCS10
SuppressDefaults = true
SecurityDescriptor = "D:P(A;OICI;0xd01f01ff;;;BA)(A;OICI;0xd01f01ff;;;SY)"
[RequestAttributes]
CertificateTemplate = SubCA
[Extensions]
2.5.29.15 = "{critical}{hex}03020186" ; Key Usage (critical): Digital Signature, Certificate Signing, CRL Signing
2.5.29.19 = "{critical}{text}ca=1&pathlength=1" ; Basic Constraints (critical)
1.3.6.1.4.1.311.21.1 = "{hex}020100" ; CA Version V0.0
故障排除步骤
我通过运行检查了 CSP 是否有效certutil -csplist:
[...]
Provider Name: Microsoft Strong Cryptographic Provider
Provider Type: 1 - PROV_RSA_FULL
Provider Name: Microsoft Software Key Storage Provider
Provider Name: Microsoft Passport Key Storage Provider
[...]
它没有提供程序类型,但尽管如此,我将ProviderType = 0和添加ProviderType = 1到配置中,但无济于事。
我能够使用非常相似的配置来创建我的根证书:
[Version]
Signature= "$Windows NT$"
[NewRequest]
Subject = "CN=My Root CA"
HashAlgorithm = sha256
KeyAlgorithm = RSA
KeyLength = 4096
;KeyUsage = CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_CERT_SIGN_KEY_USAGE | CERT_CRL_SIGN_KEY_USAGE
ProviderName = "Microsoft Software Key Storage Provider"
KeyContainer = "My Root CA"
ExportableEncrypted = true
MachineKeySet = true
RequestType = Cert
SuppressDefaults = true
SecurityDescriptor = "D:P(A;OICI;0xd01f01ff;;;BA)(A;OICI;0xd01f01ff;;;SY)
[Extensions]
2.5.29.15 = {critical}{hex}03020186 ; Key Usage (critical): Digital Signature, Certificate Signing, CRL Signing
2.5.29.19 = {critical}{text}ca=1&pathlength=None ; Basic Constraints (critical)
1.3.6.1.4.1.311.21.1 = {hex}020100 ; CA Version V0.0
主要区别在于,使用此配置,我创建了一个密钥和证书,而不是密钥和 CSR。区别是:RequestTypeisCert和 not PKCS10,它没有RequestAttributes部分。此配置没有失败NTE_PROV_TYPE_NOT_DEF。
是什么导致我的子 CA 的配置突然失败?
我需要为我的碎玻璃管理员帐户停用“需要更多信息”屏幕。
根据文档,我上周确实禁用了Azure 安全默认值。
然后我创建了一个条件访问策略,要求所有用户都使用 MFA 登录,除了紧急情况管理员帐户。
这并没有禁用“需要更多信息”,但至少现在我可以单击“下一步”按钮,然后跳过 MFA 的设置。
但是,我首先需要这个屏幕不要出现。我该如何做到这一点?
您可能知道,如果您在非英语 Windows Server 操作系统上的新林中推广新域,则所有内置组都已本地化。我正在尝试在测试环境中将 Active Directory 域的内置组重命名为英语。
问题是内置组 - 例如管理员组 - 有几个systemFlags例如DOMAIN_DISALLOW_RENAME,阻止我重命名组。
我尝试在域控制器上以 SYSTEM 身份运行 ldp.exe 并删除 systemFlags 属性,但由于权限而失败。
***Call Modify...
ldap_modify_s(ld, 'CN=Administrators,CN=Builtin,DC=ad,DC=example,DC=com',[1] attrs);
Error: Modify: Constraint Violation. <19>
Server error: 000020B1: AtrErr: DSID-030F158A, #1:
0: 000020B1: DSID-030F158A, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90177 (systemFlags)
Error 0x20B1 The attribute cannot be modified because it is owned by the system.
我在这里找到了一个线程,一个人实现了这一点,但他跳过了细节,我无法做到这一点。
好吧,最后我找到了一种在通过更改架构属性绑定到服务器后使用 ldp.exe 重命名它的方法谢谢
那么,我该怎么做呢?
我在一台新的 Server 2012 R2 机器上安装了 Windows 部署服务 (WDS)。我的 Hyper-V(Gen2、UEFI、安全启动)客户端无法通过 TFTP 请求“boot\x64\wdsmgfw.efi”。服务器响应未找到该文件。
我可以确认 'C:\RemoteInstall\Boot\x64\wdsmgfw.efi' 确实丢失了。其他一切都在那里。
我尝试安装 Server 2016 并配置 WDS,但那里也缺少该文件。
为什么该文件丢失,我必须怎么做才能使 PXE 运行?
我刚刚发现192.112.36.4( g.root-servers.net.) 既不响应请求,也不响应 ping。
. 3600000 NS G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4
我检查了http://www.internic.net/domain/named.root,这是根服务器的更新列表,IP 地址正确。我一直认为这些根服务器是冗余的,以至于不可能有停机时间。根据http://root-servers.org,全球有六个服务器所在的位置,所以我认为我的假设是正确的。
我的问题是是否g.root-servers.net.与所有其他人有任何不同或特殊,
如果我不应该出于任何原因从它那里得到 DNS 响应?
我们有多个 Office 365 商业高级版订阅。Office 通过 Click-2-Run 安装,因此会自动更新和升级。
此通知已发布到消息中心:
准备 Office 2016 升级
细节
从 2016 年 2 月 9 日开始,Office 2016 Current Branch for Business 将可用。Current Branch for Business 的第一个版本已于 9 月推出,我们现在将其广泛提供给 Office 365 客户。
这对我有什么影响?
Current Branch for Business 是 Office 2016 的默认更新分支,用于 Office 365 专业增强版订阅。
我需要做什么来为这种变化做准备?
我们建议您查看升级指南并制定计划来管理现有 Office 365 专业增强版安装的升级。Office 365 专业增强版和 Office 365 商业版客户端的自动升级将于 2016 年 2 月晚些时候开始。如果您希望禁用自动升级,请参阅以下知识库文章: https: //support.microsoft.com/en-us/kb/ 3097292。
现在,通知和文章都明确谈论了 Office 365 ProPlus。这很重要,因为 Office 365 商业高级版不支持组策略,并且提到的注册表项HKLM\SOFTWARE\Policies\Microsoft\Office\15.0\Common\OfficeUpdate\EnableAutomaticUpgrade实际上是与组策略相关的注册表项,因此不起作用。
我问的原因是,我们在将 Outlook 2013 升级到 Office 2016 时遇到了一个重大问题,导致我们的 QA 计算机上的所有 Outlook 配置文件都处于不可用状态。
如何防止 Office 2013商业高级版自动升级到 Office 2016 商业高级版?
为避免混淆,serverfault 上有一个相关问题,但它仅针对 Office 365 ProPlus。
我配置了一个带有两个节点和一个域控制器的 Hyper-V 故障转移群集。集群感知更新已启用。
BPA 显示以下错误:
要参与复制,故障转移群集中的服务器必须配置 Hyper-V 副本代理。
来源:http ://social.technet.microsoft.com/wiki/contents/articles/12798.hyper-v-to-participate-in-replication-servers-in-failover-clusters-must-have-a-hyper- v-replica-broker-configured.aspx
我不明白为什么 BPA 会显示该错误。我不使用也没有配置复制。
VMName ReplicationState
------ ----------------
xxxxxxxx-xxxxxxxxx Disabled
xxxxxxxx Disabled
xxxxxx Disabled
xxxxxxxx Disabled
xxxxxxxxxx Disabled
xxxxxxxxxxxxxx Disabled
xxxxxxxxxxx Disabled
xxxx-xx Disabled
xxxx-xxx Disabled
xxxxxxxxxxxxxxxxxxxxxxx Disabled
xxxxxxxxxx Disabled
xxxxxxxxx Disabled
xxxxxxxxxx Disabled
出了什么问题,我该如何解决?
我花了几个小时来解决这个问题,因为本地组件存储已损坏,并且计算机正在访问本地 WSUS 服务器而不是 Microsoft 的公共更新服务器(而且因为我很少使用 Dism)。作为参考和帮助其他有相同问题的人,我将写下问题描述并提供解决方案。
自从升级到 Windows 10 Pro 版本 1511(内部版本 10586)后,我在多个位置遇到了损坏的文件opencl.dll的问题。
我试过sfc.exe /scannow了,但未能解决问题。错误消息包括:
2015-12-08 08:50:43, Info CSI 00003c3a Hashes for file member \SystemRoot\WinSxS\wow64_microsoft-windows-r..xwddmdriver-wow64-c_31bf3856ad364e35_10.0.10586.0_none_3dae054b56911c22\opencl.dll do not match actual file [l:10]"opencl.dll" :
Found: {l:32 g2VAunZ6/2J1G3oL7kf9fjInPUA9VYeiJcl9VKgizaY=} Expected: {l:32 9rnAnuwzPjMQA7sW63oNAVhckspIngsqJXKYSUeQ5Do=}
2015-12-08 08:50:43, Info CSI 00003c3b [SR] Cannot repair member file [l:10]"opencl.dll" of microsoft-windows-RemoteFX-clientVM-RemoteFXWDDMDriver-WOW64-C, version 10.0.10586.0, arch Host= amd64 Guest= x86, nonSxS, pkt {l:8 b:31bf3856ad364e35} in the store, hash mismatch
2015-12-08 08:50:43, Info CSI 00003c3c [SR] This component was referenced by [l:125]"Microsoft-Windows-RemoteFX-VM-Setup-Package~31bf3856ad364e35~amd64~~10.0.10586.0.RemoteFX clientVM and UMTS files and regkeys"
2015-12-08 08:50:43, Info CSI 00003c3d Hashes for file member \??\C:\WINDOWS\SysWOW64\opencl.dll do not match actual file [l:10]"opencl.dll" :
Found: {l:32 g2VAunZ6/2J1G3oL7kf9fjInPUA9VYeiJcl9VKgizaY=} Expected: {l:32 9rnAnuwzPjMQA7sW63oNAVhckspIngsqJXKYSUeQ5Do=}
2015-12-08 08:50:43, Info CSI 00003c3e Hashes for file member \SystemRoot\WinSxS\wow64_microsoft-windows-r..xwddmdriver-wow64-c_31bf3856ad364e35_10.0.10586.0_none_3dae054b56911c22\opencl.dll do not match actual file [l:10]"opencl.dll" :
Found: {l:32 g2VAunZ6/2J1G3oL7kf9fjInPUA9VYeiJcl9VKgizaY=} Expected: {l:32 9rnAnuwzPjMQA7sW63oNAVhckspIngsqJXKYSUeQ5Do=}
2015-12-08 08:50:43, Info CSI 00003c3f [SR] Could not reproject corrupted file [l:23 ml:24]"\??\C:\WINDOWS\SysWOW64"\[l:10]"opencl.dll"; source file in store is also corrupted
好的,现在问题很清楚了。不幸的是,SFC无法解决损坏问题,因为本地组件存储也已损坏。不幸的是,我丢失了指示组件存储损坏的错误消息。
所以我尝试Dism /Online /Cleanup-Image /RestoreHealth了无济于事。它失败并出现错误0x800f081f,表明源文件存在另一个问题。
2015-12-08 08:57:35, Info CBS Exec: Download qualification evaluation, business scenario: Manual Corruption Repair
2015-12-08 08:57:35, Info CBS Exec: Clients specified using Windows Update.
2015-12-08 08:57:35, Info CBS WU: Update service is not default AU service, skip. URL: https://fe2.update.microsoft.com/v6/, Name: Microsoft Update
2015-12-08 08:57:35, Info CBS WU: Update service is not default AU service, skip. URL: https://fe2.ws.microsoft.com/v6/, Name: Windows Store
2015-12-08 08:57:35, Info CBS WU: Update service is not default AU service, skip. URL: https://fe3.delivery.mp.microsoft.com/, Name: Windows Store (DCat Prod)
2015-12-08 08:57:35, Info CBS WU: WSUS service is the default, URL: (null), Name: Windows Server Update Service
2015-12-08 08:57:35, Info CBS DWLD:Search is done, set download progress to 20 percent.
2015-12-08 08:57:35, Info CBS Nothing to download, unexpected
2015-12-08 08:57:35, Info CBS Failed to collect payload and there is nothing to repair. [HRESULT = 0x800f081f - CBS_E_SOURCE_MISSING]
2015-12-08 08:57:35, Info CBS Failed to repair store. [HRESULT = 0x800f081f - CBS_E_SOURCE_MISSING]
查看错误消息,很明显 Windows 设置为使用我们的本地 WSUS 服务器,因此 Dism 无法从存储库中检索有效文件。虽然我确信我可以以某种方式配置 WSUS 以提供必要的文件,但我不知道如何并且我需要快速修复。(如果有人知道如何相应地配置 WSUS,请提供信息)。
/LimitAccess如前所述,通过添加参数来限制对本地存储的访问将是无用的,因为本地组件存储也已损坏。
我在两台机器上遇到了这个问题。更新Windows 10 并没有解决这个问题。
New-DfsnFolder 和 New-DfsnFolderTarget 有什么区别?
这两个命令都需要两个参数,-Path并且-TargetPath. 他们创造了同样的东西。带有目标的 DFS 文件夹。
那么有什么不同呢?
我需要给几个用户 ReadPermissions 到一些邮箱。我需要只读邮箱通过自动映射出现在用户的 Outlook 中。
我知道您可以通过 Active Directory 中的 mxExchDelegateListLink 属性来实现这一点。但是,这不适用于 Office 365 和 DirSync。
我发现,您可以使用以下命令在 PowerShell 中查看该属性:
(Get-MailboxPermission <mailbox> -ReadFromDomainController)[0].DelegateListLink
它列出了 Outlook 将自动映射查询邮箱的所有用户。
如何通过 PowerShell 将用户添加到该属性?该属性对于每个 MailboxPermission 对象都是相同的,因此您可能不能只单独编辑该属性。
阅读Windows Server 2012 中 Hyper-V 群集的网络建议,我留下了一些未解决的问题。
建议有管理网络和集群网络。
管理网络设置为“”“允许集群网络通信和客户端连接”,
集群网络设置为“仅允许集群网络通信”。但没有其他区别或分类。
故障转移集群如何真正知道这两个网络中的哪一个用于“节点间集群通信,例如集群心跳和集群共享卷 (CSV) 重定向”?
我有一个 Hyper-V 服务器,我有三个“Windows Server 2012 R2 Standard”许可证(ROK,不是 VL)。我想知道我必须用什么键激活哪些服务器?以下是正确的方法吗?如果是,是否有更好或更简单的方法?
主人:钥匙 1
客人 1:钥匙 1
客人 2:钥匙 1
客人 3:钥匙 2
客人 4:钥匙 2
客人 5:钥匙 3
客人 6:钥匙 3
我目前正在规划一个具有两个节点的 Hyper-V 集群中的高可用性 Windows Server 2012 R2 环境。我不确定如何为工作域部署虚拟域控制器,以在节点出现故障时保持森林可用。
我看到两个选项:
使用域服务创建一台虚拟机,并将 vm 配置为故障转移集群中的集群资源。让集群担心虚拟机(域控制器)的可用性。
在 Hyper-V 节点 1 上创建一个 VM。在 Hyper-V 节点 2 上创建第二个 VM。VM 未配置为群集资源(每个 VM 没有冗余)。在两个 VM 上安装域服务。如果一个节点和一个虚拟机出现故障,让域控制器担心提供域服务。
我的问题是:
- 有首选方法吗?
- 这两种方法有什么优点和缺点?
我很欣赏高质量的答案,请用来源备份您的回复。
我无法location通过 Powershell 访问我的 Active-Directory 站点的属性。(Windows 服务器 2012 R2)
以下命令不返回任何值:
> (Get-ADReplicationSite "Default-First-Site-Name" | Get-ADObject).location
此命令返回一个标识符:
> (Get-ADReplicationSite "Default-First-Site-Name" | Get-ADObject).objectGUID
当我查看Active Directory 站点和服务管理单元中对象的图形属性编辑器时,我可以通过 objectGUID-propterty 进行验证,我确实查询了正确的 AD 对象并且 location-property 已填充。
那么为什么 Powershell 没有返回值,我该如何查询和编辑location属性呢?