Stephane's questions

这是一个相当古老的问题，但它开始变得越来越频繁。

我们正在通过 Citrix XenApp 6.5 向外部用户提供应用程序。用户有许多不同版本的接收器，但即使是最新版本的问题也是一样的（我写这篇文章时是 4.9，至少早在 4.2 时就已经确认）。

用户通常拥有具有多个显示器的 Windows 10 系统。他们还尝试为每个屏幕设置不同的缩放系数（显示设置 -> 缩放和布局）。

连接时，应用程序会根据最初启动的屏幕显示系数进行缩放。这工作正常，直到用户将应用程序的一个窗口（甚至部分）移动到第二个屏幕。然后发生了几件事：

• Citrix 用于以无缝模式显示应用程序的“剪辑区域”与窗口的实际位置不同步（仅在第二个屏幕上）。这导致只有部分应用程序显示在客户端上，旁边有蓝色背景。
• 鼠标位置在两个屏幕中都不再正确转发到服务器：用户无法单击任何 UI 元素，因为服务器接收到的位置与用户单击的位置不同。

这个问题可以通过同步两个屏幕的缩放系数来解决，但是，当然，当用户有多个 DPI 非常不同的屏幕（通常是具有 QHD 或 UHD 屏幕和主显示器的笔记本电脑或平板电脑）时，这是一个很大的不便一个 1080p 的）。在这种情况下，用户或多或少地停止使用其中一个屏幕。

我需要恢复一个应用程序，以便它可以在被淘汰之前被第三方安全存档。

为了在不危及整个服务器的情况下这样做，我想强制用户在连接之前进行身份验证，这意味着需要 TLS。

不幸的是，该服务器（xxx.xxx.xxx.120）上的 443 端口被另一个应用程序（使用自己的 HTTP 服务器的网络邮件系统）占用，所以我向服务器添加了一个新的公共 IP（xxx.xxx.xxx .120) 并在 IIS 中为这个新 IP 上的端口 443 添加了绑定：

我还确保另一个应用程序未绑定在 0.0.0.0:443 上，而是使用特定的 IP 地址。

最后，我跑了netstat -ano | find ":443"，得到了这个：

TCP    xxx.xxx.xxx.120:443     0.0.0.0:0              LISTENING       3016
TCP    xxx.xxx.xxx.120:443     0.0.0.0:0              LISTENING       3016

xxx.xxx.xxx.120 为初始服务器 IP 地址，新的为 xxx.xxx.xxx.122。

为了更好地衡量，我也运行netstat -aon | Find "xxx.xxx.xxx.122:443"（新 IP）并且没有得到任何回报，正如预期的那样。

不幸的是，当我尝试启动 Web 应用程序时，我收到了以下错误消息：

这个错误是 IIS 抛出的一个错误，如果它尝试绑定的 IP:Port 被占用，但 netstat 清楚地说它是可用的。

我错过了什么？

编辑：当我尝试启动服务时，系统事件日志中有两个事件：

Log Name:      System
Source:        Microsoft-Windows-IIS-W3SVC
Date:          7/19/2014 11:59:44 AM
Event ID:      1004
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      xxxx
Description:
The World Wide Web Publishing Service (WWW Service) did not register the URL prefix https://XXX.XXX.XXX.122:443/ for site 2. The site has been disabled. The data field contains the error number.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-IIS-W3SVC" Guid="{xxxxx}" EventSourceName="W3SVC" />
    <EventID Qualifiers="49152">1004</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-07-19T09:59:44.000000000Z" />
    <EventRecordID>119596</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>System</Channel>
    <Computer>xxxx</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="UrlPrefix">https://XXX.XXX.XXX.122:443/</Data>
    <Data Name="SiteID">2</Data>
    <Binary>20000780</Binary>
  </EventData>
</Event>

和

Log Name:      System
Source:        Microsoft-Windows-HttpEvent
Date:          7/19/2014 11:59:44 AM
Event ID:      15005
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      XXX
Description:
Unable to bind to the underlying transport for [::]:443. The IP Listen-Only list may contain a reference to an interface which may not exist on this machine.  The data field contains the error number.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-HttpEvent" Guid="{xxx}" EventSourceName="HTTP" />
    <EventID Qualifiers="49152">15005</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-07-19T09:59:44.330234300Z" />
    <EventRecordID>119597</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="88" />
    <Channel>System</Channel>
    <Computer>XXX</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="DeviceObject">\Device\Http\ReqQueue</Data>
    <Data Name="Address">[::]:443</Data>
    <Binary>0000040002003000000000009D3A00C0000000000000000000000000000000000000000000000000430000C0</Binary>
  </EventData>
</Event>

在最近发生 Outlook 事件后，我想知道如何最有效地解决以下问题：

假设一个相当典型的中小型 AD 基础设施：若干 DC、若干内部服务器和 Windows 客户端、若干使用 AD 和 LDAP 从 DMZ 内进行用户身份验证的服务（SMTP 中继、VPN、Citrix 等）以及若干内部所有依赖 AD 进行身份验证的服务（Exchange、SQL 服务器、文件和打印服务器、终端服务服务器）。您可以完全访问所有系统，但它们数量过多（包括客户端），无法单独检查。

现在假设由于某种未知原因，每隔几分钟就会有一个（或多个）用户帐户由于密码锁定策略而被锁定。

• 找到对此负责的服务/机器的最佳方法是什么？
• 假设基础设施是纯粹的标准 Windows，没有额外的管理工具，并且与默认值相比几乎没有变化，是否有任何方法可以加速或改进查找此类锁定原因的过程？
• 可以做些什么来提高系统对这种帐户锁定 DOS 的弹性？禁用帐户锁定是一个显而易见的答案，但随后您会遇到用户可以轻松利用密码的问题，即使强制执行复杂性也是如此。

我们的基础架构中有许多用于各种任务的 powershell 脚本，从用户登录到支持技术人员模拟用户上下文。

这些脚本集中在我们的文件服务器上（通过 DFS），以便于管理。其中一些在登录时运行，一些通过已发布的 Citrix 应用程序运行。

我们为整个域和所有用户应用了一项策略，将 Powershell 执行策略设置为“无限制”，以便脚本可以从文件服务器运行。

这对于登录脚本（至少到目前为止）非常有效，但对于稍后运行的脚本（通常通过已发布的应用程序，但在使用终端服务和完整桌面时同样适用），结果不一致：一些用户可以运行脚本很好，在 powershell 控制台中总是提示一些让脚本运行。

我找不到任何可能导致这种行为的东西，而且确实不一致：如果我手动启动 powershell 并运行get-executionpolicy，我被告知当前策略是unrestricted. 然而，如果在同一个会话中，我尝试通过调用的程序运行脚本，powershell <script file name> <parameters>我会在脚本运行之前得到提示。

什么可能导致这种行为？

我们有一个用户要求我们在 Windows 终端服务器（Citrix，实际上是 2008 R2）上安装特定的字符字体。

该字体不是免费的，在场中的每台服务器上安装它都需要我们为每个用户支付字体费用。

有没有办法在终端服务服务器上安装字体，以便只有某些用户可以访问它？

我对使用 Web Interface 5.4 和 CSG 3.3.1 的新 Citrix XenApp 6.5 部署有疑问

我们有共享相同访问权限的外部用户（我们按访问权限向他们收费，这样他们就不会订购超过他们需要的数量，并在内部进行管理）。此设置在 XenApp 4.5 上运行良好：用户可以登录 Web 界面两次，但是，当他们尝试访问同一个已发布的应用程序时，他们将无法通过并收到“您已达到限制”的问候此资源允许的会话”对话框。

现在，对于 6.5（和 Citrix Web 界面 5.4），我们有不同的行为：一旦第二个用户登录到 WI，第一个用户的会话就会断开。通常（但显然不是每次）第二个用户会自动重新连接到第一个用户的会话。

我怀疑此行为是由于会话可靠性参数引起的，但我想确认一下。

更重要的是：如果确实是会话可靠性导致了这种行为，是否有可能在没有“自动在 Web 界面级别重新连接”已启用？

我正在编写一组脚本，用于将用户和结构从一个活动目录迁移到另一个活动目录。为此，我使用 Get-ADOrganizationalUnit commandlet 来导出 OU，如下所示：

Get-ADOrganizationalUnit -SearchBase $filterbase -filter * | export-csv $outcsv 

事实证明，我们在源 OU 的“描述”属性中存储了有用的信息。不幸的是，此信息似乎不是 Get-ADOrganizationalUnit commandlet 导出的数据的一部分。

那么，任何人都可以建议一种方法，让我可以从源广告中获取相同的信息，但包括描述吗？

事实上，如果我得到的唯一属性是，我可以很好地工作DistinguishedName，所以如果你有另一种方法来列出 AD 中包含这些属性的特定 OU 下的所有 OU，（并且可以通过管道传输到），它会工作也一样。namedescriptionexport-csv

我的一个客户遇到了一个很奇怪的问题：定时任务不时运行两次，执行之间只有几秒钟的间隔。

该任务是使用 Windows 调度程序安排的。这是一项非常基本的任务，即使用 TCP/IP 连接到本地服务、进行身份验证、向其发出命令并断开连接。它几乎是瞬时的（最长的部分实际上是 SSL 握手）。

它在服务器应用程序中触发了一个问题，我将修复该问题，但我的问题是我根本找不到任务运行两次的任何正当理由：没有人以交互方式连接到该机器（它是一个应用程序服务器）和服务器日志显示所有这些连接都来自 127.0.0.1。发送端口和线程 ID 都发生变化，以非常清楚的方式表明这不是服务器应用程序中的某种内部“重影”效果。

不幸的是，该服务器上没有启用任务历史记录，所以我在这方面没有运行跟踪。我已经启用它，如果问题再次出现，我会检查它。但是，我已经确认在问题发生时没有人连接到机器。

谁能解释一下？

谢谢

我的任务是将旧的 ASP 应用程序从 Windows 2003 服务器 (x86) 移植并移动到运行 IIS 7.5 的 Windows 2008R2 服务器

许多事情需要更改（主要与注册表访问有关），但我偶然发现了一个我无法以令人满意的方式解决的问题。

该应用程序使用外部 COM 对象（进程内 dll）。它将在登录阶段创建该对象的实例并将其存储为会话变量。

这曾经工作得很好并且在我的测试中运行良好但是当我将它部署在第一台生产服务器上时，当用户尝试登录时我开始出现随机的“500”错误。错误真的不一致所以我使用procmon来追查问题的根源，发现：当用户尝试访问该网站时，IIS 工作进程尝试打开托管 COM 对象的 Dll，但因访问被拒绝错误而失败。

现在，我不明白这一点：Web 应用程序使用服务帐户来访问本地资源。该服务帐户对该 COM 库所在的目录具有明确的权限。然而，对该文件的访问仍然被拒绝。

我通过为“每个人”提供对 dll 的显式读取和执行访问权限来“解决”这个问题，它（似乎）已经解决了这个问题。

但我不知道为什么。

最奇怪的是，我使用本地管理员帐户连接到网页一次（而且只有一次），然后只要应用程序没有被回收，问题就得到了解决。

如果有人能阐明这个问题，我将不胜感激。我可以接受修复，但我真的很想了解。

编辑澄清一下：该网站未设置为模拟连接用户。事实上，唯一启用的身份验证方案是“匿名身份验证”。但是，基本设置设置为使用服务帐户。

编辑拒绝访问期间 procmon 报告的身份是“IIS APPPOOL\(application name)”