Dai's questions

• 我现在才注意到这一点，但显然自 2022 年 1 月 11 日（2022 年 1 月的“补丁星期二”）以来，我的家庭网络的开发服务器的 Hyper-V 管理程序一直无法启动。

  • 盒子是一台使用了 6 年的 Xeon E3 机器（当然是 UEFI），运行 Windows Server 2012 R2 并安装了域控制器和 Hyper-V 主机角色。

• Hyper-V 事件日志中充斥着错误，但这些都是系统事件日志中与此事件一起报告的初始服务失败的次要后果：

  级别：错误
  来源：Hyper-V-Hypervisor
  事件 ID：80

  管理程序启动失败；操作系统引导加载程序失败，错误为 0xC00000BB。

  • 事件的原始 XML 表示该0xC00000BB代码是一个NTSTATUS错误代码，这显然意味着“ STATUS_NOT_SUPPORTED” ——这没有任何意义，因为 Hyper-V 在星期二补丁之前工作正常，而且我不知道英特尔推出任何处理器微码更新以禁用硬件虚拟化，例如某种可怕的SPECTRE / MELTDOWN-esque缓解......

• 正如周二补丁之后发生的那样，我猜微软搞砸了一个 Hyper-V 补丁——我可能不应该期待对 8.5 年前的操作系统版本的安全补丁进行最佳质量控制......

• 有任何想法吗？

这个问题与这些现有问题不重复：

• AUTHORITY\NetworkService 不存在（问题是针对 Windows Server 2003
• 如何以“NT Authority\NetworkService”的身份运行进程？（这是一个脚本问题）
• https://stackoverflow.com/questions/34966029/adding-permissions-for-nt-authority-networkservice（这是关于将NT AUTHORITY主体添加到 ACL，而不是在查找用户 GUI 中选择主体）

我在不同的计算机上配置了 Windows 服务：

• 工作站（非域）计算机（运行 Windows 10）
• 工作站（非域）Windows Server（运行 Windows Server 2016）
• 域工作站（运行 Windows 10）
• 域成员服务器（运行 Windows Server 2016）
• 域控制器（运行 Windows Server 2016）

加入域的计算机和成员服务器：

在除域控制器之外的所有计算机中，services.msc> 服务属性 > 登录属性表的“选择用户”弹出窗口让我选择NT AUTHORITY内置主体NETWORK SERVICE和LOCAL SERVICE（又名NT AUTHORITY\NetworkService和NT AUTHORITY\LocalService）。

如果我忽略“搜索用户”窗口并在“network service选择用户”窗口中键入“”并单击“检查名称”，则它正确解析为NETWORK SERVICE：

域控制器：

但是，在此 Windows Server 2016 域控制器上，“选择用户”弹出窗口不允许我指定任何本地计算机名称（这很有意义：本地计算机的安全系统成为域安全系统）。

...这意味着无法解析、搜索或选择NETWORK SERVICEor LOCAL SERVICE：

当我直接在登录选项卡中输入它时，我收到此错误：

帐户名无效或不存在，或指定帐户名的密码无效。

我注意到在域控制器上，“选择用户或服务帐户”窗口只允许我选择“服务帐户”或“用户”，而不是“内置安全主体”。

加入域的工作站或成员服务器：

域控制器（Windows Server 2012 R2，但与 2016 相同）：

我知道我可以通过sc config手动使用或编辑注册表（或在“此帐户：”文本框中键入“ Local Service”或“ Network Service”）来设置服务登录帐户，但我将使用“选择用户或域控制器上 Services.msc 之外的“服务帐户”对话框？

我有一个运行 Windows Server 2012 R2 的 Windows Azure VM，它自 2016 年 4 月以来一直无法安装更新。控制面板中的“查看更新历史记录”屏幕列出了数百次连续尝试在每台机器上安装更新的失败重新开始。

每个更新的详细信息窗口类似于：

Windows Server 2012 R2 更新 (KB3133690)

• 安装日期：‎2016-‎04-‎25 10:34
• 安装状态：失败
• 错误详细信息：代码 800F0922 获取有关此错误的帮助
• 更新类型：推荐

安装此更新以解决 Windows 中的问题。有关此更新中包含的问题的完整列表，请参阅相关的 Microsoft 知识库文章以获取更多信息。安装此项目后，您可能需要重新启动计算机。

更多信息： http: //support.microsoft.com/kb/3133690

帮助和支持： http: //support.microsoft.com

（像往常一样，“获取有关此错误的帮助”链接是无用的，它会打开一个 Windows 帮助和支持窗口，该窗口仅显示“正在获取搜索结果...我们找不到任何结果。这里有一些可以尝试的方法：”。啊，

Windows 事件日志中也充斥着如下事件：

• 日志名称：系统
• 来源：WindowsUpdateClient
• 事件编号：20
• 级别：错误
• 用户：系统
• 操作码：安装安装失败：Windows 无法安装以下更新，错误为 0x800F0922：Windows Server 2012 R2 安全更新 (KB3159398)。

应用程序事件日志包含更多有用的信息：

• 日志名称：应用程序
• 来源：Windows 错误报告
• 事件编号：1001
• 级别：信息
• 用户：N/A 故障桶，类型 0 事件名称：WindowsUpdateFailure3 响应：不可用 Cab Id：0

问题签名：P1：7.9.9600.18235 P2：800f0922 P3：BA0F75FF-19C3-4CBD-A3F3-EF5B5C0F88BF P4：安装 P5：202 P6：0 P7：0 P8：AutomaticUpdatesWuApp P9：{7971F918-A847-4430-9279-E4 P10: 0

附件：C:\Windows\WindowsUpdate.log C:\Windows\SoftwareDistribution\ReportingEvents.log C:\Windows\Logs\CBS\CBS.log

这些文件可能在此处可用：C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_7.9.9600.18235_（已编辑）

分析符号：重新检查解决方案：0 报告 ID：（已编辑）报告状态：4 散列桶：

服务器将重新启动以安装更新，然后立即停止并执行回滚，使正常重新启动持续 15 分钟以上。

日志文件C:\Windows\WindowsUpdate.log没有产生任何线索——它没有报告任何明显的错误或警告——除了关于它无法使用计量连接 API 的过多消息：“警告：无法从 NLM 获取网络成本信息，假设网络不是计量，错误 = 0x80240037"。

该C:\Windows\SoftwareDistribution\ReportingEvents.log文件仅包含与 Windows 更新控制面板相同的文本：“内容安装安装失败：Windows 无法安装以下更新，错误为 0x800f0922：Windows Server 2012 R2 安全更新 (KB3162343)。”

最后，C:\Windows\Logs\CBS\CBS.log是一个 180MB+ 大小的文本文件，我浏览了一下，但找不到任何明显的东西。

（发布到 ServerFault 而不是 StackOverflow，因为我觉得它比编程代码更关注操作系统配置）。

我目前负责维护一个连接到第三方网络服务的系统。此 Web 服务需要客户端身份验证证书，这很公平，但 Web 服务本身由自创建的根证书颁发机构证书创建的自签名证书保护 - 与创建客户端身份验证证书的根相同。

只需将当前服务证书添加到已知信任列表并忽略自创建的授权证书就足够了，不幸的是服务证书定期更改，因此必须信任授权证书以确保应用程序在服务证书已更新。

但是，根据我在运行 Web 服务的公司的经验，我（个人）不信任 CA 证书——如果它被泄露到网络上，我不会感到惊讶——而且令人担忧的是，CA 证书没有任何密钥使用限制它（虽然外部 MITM 攻击是可能的，虽然远程，但我更担心用于代码签名的泄露证书，例如）。

我是否可以告诉我的计算机（目前是服务器盒，但在未来的普通桌面客户端盒）信任 CA，但仅限于给定的一组密钥用法和一小组可能的主题名称（域名)?

该服务器目前是 Windows Server 2012 R2，但它可以在 Linux 机器上运行——尽管桌面机器都是 Windows 机器。

我有一个在 Windows Azure 上运行的 Windows Server 2012 VM。

我想通过远程桌面启用 2 个同时管理会话的能力。这在 Windows Server 2012 的 EULA 下是允许的。这与成熟的终端服务（远程桌面服务）功能不同。

在 Windows Server 2000 和 2003 中，默认启用多个并发会话（最多 2 个，加上根/console会话）（这样通过 RDP 登录而不先注销将创建一个新会话，而不是重新连接到旧会话）。在 Server 2008 及更高版本中，它默认使用单会话，因为这简化了管理（因为大多数人都希望连接到旧会话）。

在 Windows Server 2008 R2 中，您可以为远程桌面主机配置添加 MMC 管理单元，以便重新启用并发会话。

但是，在 Server 2012 中，从服务器管理器添加远程管理管理单元后，远程桌面主机配置管理单元似乎已被删除。

如何在 Windows Server 2012 中重新启用用于管理的远程桌面的多个并发会话？

我不确定这些存储接口的差异。我的戴尔服务器中都有 SAS RAID 控制器，它们似乎在一定程度上是交叉兼容的。

我的旧服务器中的 Ultra-320 SCSI RAID 控制器非常简单：一种接口类型 (SCA)，带有带有特殊控制器的特殊驱动器，以 10-15K RPM 的速度嗡嗡作响。但这些 SAS/SATA 驱动器看起来就像我台式机上的驱动器，只是更贵。我的旧 SCSI 控制器也有自己的备用电池和 DDR 缓冲器——这些东西都没有出现在 SAS 控制器上。那是怎么回事？

“企业”SATA 驱动器与我的 SAS RAID 控制器兼容，但我想知道 SAS 驱动器与 SATA 驱动器相比有什么优势，因为它们似乎具有相似的规格（但便宜得多）。

另外，SSD 如何适应这一点？我记得当 RAID 控制器要求 HDD 以相同的速率旋转时（就好像控制器卡取代了驱动器中的控制器一样）——那么现在如何实现呢？

Near-line SATA 有什么用？

对于此消息中的漫无边际的语气，我深表歉意，现在是凌晨 5 点，我还没有睡好。

我正在尝试为 Exchange CAS 角色中的 POP3 服务器设置 TLS。

我从 NameCheap 购买了一个证书，并且 CA 路径是完全受信任的，并且将它安装在证书 MMC 管理单元中，没有任何问题。

但是 Exchange 2010 似乎不喜欢它：我在事件查看器中看到了这个：

事件 ID：2007 来源：MSExchangePOP3 找不到主机名“mail.mydomain.net”的证书。无法对 POP3 服务进行 SSL 或 TLS 加密。

...尽管确实存在这样的证书：

[PS] C:\Windows\system32>Get-ExchangeCertificate

Thumbprint                                Services   Subject
----------                                --------   -------
DAFFAE2391F40412386DCFC3AC8E822AAE181312  .P.W..     CN=mail.mydomain.net, OU=PositiveSSL, OU=Domain Control Validated
1C363A4D6A40921230BBD02C47A3260863D05CAA  I...S.     CN=machineName
BCSH281A051860123D70C0BD2E1EB6DBABDC98DD  ......     CN=WMSvc-MACHINENAME

我已经多次启动服务器（和服务）。我不明白为什么它不起作用。

我有一台安装了 SQL Server 2008 R2 Enterprise 的 Windows Server 2008 R2 机器。SQL Server 被设置为一个命名实例，所以它的全名是“ATLANTA3\FOO”（“Atlanta3”是机器名，“Foo”是实例名）。

我已经设置了一个具有高级安全规则的 Windows 防火墙，以允许所有传入连接到 sqlservr.exe，这是在配置管理器中设置的：

Shared Memory: Enabled
TCP/IP: Enabled
     Protocol:
         Enabled: Yes
         Keep Alive: 30000
         Listen All: Yes
     IP Addresses:
         (Most of these are IPv6 addresses assigned to tunnel adapters and are ignored)
         IP2:
             Active: Yes
             Enabled: Yes
             IP Address 192.168.0.17 // this is the internal LAN adapter
             TCP Dynamic Ports: 0
             TCP Port: (blank)
         IP4:
             Active: Yes
             Enabled: Yes
             IP Address 89.xx.xx.xx // this is the Internet-exposed adapter. I can ping this from home.
             TCP Dynamic Ports: 0
             TCP Port: (blank)
         IPAll:
             TCP Dynamic Ports: 49280

我使用 TCPView 查看实例正在侦听的端口 (49280)，我可以完美地打开一个 telnet 连接。

但是我似乎无法从任何远程机器连接到实例，无论是在内部 192.168.0.x LAN 上还是从 Internet 上。我从 SSMS 收到此错误：

标题：连接到服务器

无法连接到 ATLANTA3\FOO。

附加信息：

建立与 SQL Server 的连接时出现与网络相关或特定于实例的错误。服务器未找到或无法访问。验证实例名称是否正确以及 SQL Server 是否配置为允许远程连接。（提供者：SQL 网络接口，错误：26 - 定位指定的服务器/实例时出错）（Microsoft SQL Server，错误：-1）

如需帮助，请单击： http: //go.microsoft.com/fwlink ?ProdName=Microsoft%20SQL%20Server&EvtSrc=MSSQLServer&EvtID=-1&LinkId=20476

我已遵循 TechNet 和 MSDN 文章中的所有说明以允许 SQL Server 通过防火墙。这听起来像是 SQL Server 浏览器的问题，但我找不到任何关于让 SSB 与防火墙配合使用的信息，假设它曾经需要。

我不能完全禁用防火墙，因为当我这样做时，服务器会断开与所有网络的连接并且没有远程响应，我必须让数据中心人员为我手动重启机器（不好）。