我有两个 Windows Server DC,SERVER3 和 SERVER4。SERVER3 是 PDCe。
在 SERVER3 上,我将 DNS 转发器从 ISP 更改为 OpenDNS,希望更改自动同步到 SERVER4。
到现在已经四十八个小时了,还没有任何成功的迹象。
我应该有多担心?这是否意味着我的 DC 未正确同步,或者只是在同步操作中不考虑转发器?
仅供参考,我经常使用 ADRST 手动检查同步状态。(我很想通过电子邮件发送状态报告以某种方式实现自动化,但我不知道这些知识。)
我遇到了一个非常奇怪的情况,我的 VM 托管 PDCe 上的时间报告为同步,但实际时间不同步。服务器的运行速度快了大约一个小时。
这是我所拥有的:
我无法在命令行更新时间:
这是时间服务配置:
我在 GPO 中设置了时间同步,如此处所示,但在本练习期间我已将其关闭。奇怪的是,该Change按钮在计算机设置->时间和语言->日期和时间中保持禁用;我不知道该怎么做。
但回到时间同步问题。我以前从未见过这样的事情。确切的问题描述也不会出现在任何搜索中。
我怎样才能解决这个问题?
我有一个带有 2 个 DC、SERVER2 和 SERVER3 的森林/域。SERVER2 拥有 FSMO 角色。两者都很健康。
我现在希望删除 SERVER2 以进行干净的重新安装。根据我对该项目的研究,我建议采取以下步骤:
- 将 FSMO 角色转移到 SERVER3
- 将 SERVER2 降级为成员服务器
- 从域中删除 SERVER2
- 执行 SERVER2 的重新安装
- 将 SERVER2 加入域
- 将 SERVER2 提升为 DC
- 将 FSMO 角色转移到 SERVER2
这就是任务所必需的吗?在第 3 步删除 SERVER2 后,我是否需要对 SERVER3 进行任何类型的清理或维护?
这是历史:
SERVER2 是 2016 Essentials Edition 服务器,独立,没有其他 DC。操作系统在一些区域损坏,因此决定更换它。独立的全新安装不是一种选择,因为在成员服务器上运行的应用程序严重依赖 AD 用户 SID。
因此引入了第二个 DC,SERVER3,并且域/AD/DNS/PDC/fsmo 从 SERVER2 复制到 SERVER3。在 SERVER3 上执行元数据清理,以消除对 SERVER2 的任何旧引用。SERVER2 现已永久脱机。
已经配置了一个全新的SERVER2 Essentials Edition,它有自己的域/AD/DNS/PDC/fsmo。两个域的显示名称相同,但底层的AD当然不同。
如何使新的 SERVER2 成为 SERVER3 的 BDC,将所有内容从 SERVER3 复制到新的 SERVER2,然后将新的 SERVER2 提升为 PDC?
我得到了一些专家的帮助才能做到这一点,但不幸的是,这项技术已被取消。我现在是我自己的中期项目。
请指教。
- 编辑 -
我找到了这个指导,但它似乎没有考虑到我在不同的现有域上有两个 PDC。
我正在运行 WSE 2016,它必须是域中唯一的 DC。根据文档,它与 PDC/BDC 构造不兼容。
由于某些未知原因,Windows 更新已经失败了一段时间。我一直在与 Microsoft 支持部门合作解决这个问题,我被告知此时唯一的修复(除非全新安装)是从恢复环境运行修复。我已经尝试过删除/重命名更新存储的标准建议,但无济于事。
我还被告知必须在运行修复之前降级 PDC。
奇怪的是,对于 PDC 是否可以在没有 BDC 的情况下降级(Microsoft 支持不再像以前那样),我无法获得明确可靠的答案。此外,在查看此文档后,在我看来,降级/升级任务最终会为我的用户和计算机创建新的 SID。这对我来说是个问题,因为我在 2016 标准成员服务器上本地安装 Azure DevOps Server 2019 依赖于这些 SID 来发挥它的魔力。如果无论如何我都必须处理新的 SID,我不妨进行全新安装,升级到 WSE 2019 并处理重新配置 ADS 的痛苦。
那么,我的主要问题是:是否有可能将这个 PDC 降级,即使它没有 BDC(也不能有)?
子问题:如果是,这样做会丢失我的用户和计算机 SID 吗?
希望我在这里的两个问题结构不会与社区的问答标准发生太大的冲突。但是,如果是这样,请这样说,我将编辑我的问题以将子问题移至新主题。我只是希望巩固一些东西,因为两者是如此密切相关。
Hyper-V 的虚拟机导出/导入工具集中似乎有一个明显的漏洞。也许我对这个评估有误,但我不这么认为。
我有一个在主机操作系统重新安装后从备份中恢复的虚拟机。VM 的位置(及其 VHDX)不在主机的默认值(C:\ProgramData\Microsoft\Windows\Hyper-V\Virtual Machines和D:\Virtual Hard Disks)之外。我希望将其移至这些位置,但由于 VHDX 相当大(+10TB),因此标准导入承诺至少需要 12 小时的复制工作。默认情况下,VHDX 位于同一驱动器上,尽管位于不同的文件夹中,因此关闭 VM 并移动它们将很简单。
我尝试将配置文件复制到默认位置并运行就地注册,但遇到错误:
不用说,这不是很有帮助。
我想我可以手动创建一个新的 VM 并指向 VHDX,但随着时间的推移,我已经精心设计了它的配置,我宁愿不要冒险意外丢失设置。
如何在不需要复制那些大型 VHDX 的艰巨任务的情况下将此 VM 放入默认位置?
我想连接一个具有 LAN 访问权限的 VM,但限制它访问 Internet。我遇到过一些评论——比如这个——表明这可以通过两个 NIC 来完成,但确切的配置细节有点模糊。
以下是推动这项工作的一些背景:
最近的 Windows 更新(不确定是哪一个)推翻了强大的 QuickBooks。我已经能够在一个新的网络隔离 Win10 虚拟机中正确设置它,以防止 Windows 更新在门中随机播放(我必须短暂连接它才能激活,但是哦,好吧)。它目前的补丁级别低于有问题的更新,我希望保持这种状态——至少在近期内是这样。
但是通过 Hyper-V 管理器进行频繁和重复的访问,嗯……充其量是麻烦的。如果我能够 RDP 进入它,那也意味着我可以共享本地驱动器资源,以便手动来回复制各种文件。
对于自动夜间备份,我可以编写一个 PowerShell 脚本来执行以下操作:
- 关闭虚拟机
- 挂载 VHDX
- 使用 RoboCopy 同步文件夹
- 卸载 VHDX
- 启动虚拟机
评论类型暗示设置很容易组合在一起。嗯......如果你知道怎么做就容易了!
例如:
一个在隔离测试中,另一个在生产网络中
他是在说VLAN吗?
确保两个网卡都设置为不在 DNS 中注册
如何做到这一点?他的意思是省略 NIC 的 IPv4 属性表上的 DNS 服务器条目吗?
只需在每侧 DNS 上设置一个静态记录
看上面。
这就是所谓的“DMZ”吗?
我对 DNS 有一点了解,但对 VLAN 一无所知。并不是说我反对研究这个精彩的话题,但我不愿意追着兔子洞去了解一些最终可能对我所追求的东西没有贡献的东西。这就是为什么我非常感谢你们这些优秀的人——你们实际上知道如何把这些东西拉下来,以及做这件事需要什么零件/零件。
哎呀,我什至无法弄清楚他是否在谈论除了我的 QuickBooks VM 之外还要建立另一个 VM。
我已经尽职尽责,寻找解决方案,但恐怕我对这里的术语不够熟悉,甚至不知道要寻找什么。搜索结果提供了除此之外的所有内容的操作方法。我很幸运找到了我所做的那个。
那里有很多关于 的东西Copy-VMFile,但它们的流动方式是错误的。我需要客人对客人,而不是客人对客人。搜索引擎似乎不够聪明,无法从我的关键字(例如hyper-v get files from isolated vm或hyper-v internal network access no internet)中找出这一点。所有链接都指向罗马,而不是来自它。所有链接都认为我在抱怨无法访问 Internet。我不是。我想知道如何限制它的目的。
我没有时间等待这两个庞然大物将其淘汰。我需要继续前进,从笨拙的巨人脚下溜走。这已经使我的重要会计工作落后了。
为了建立他所说的内容,我需要采取哪些步骤(就像您正在指导初学者一样)?
我正在尝试为我创建的几个 GPP 标准化项目级目标。通过 GUI 手动浏览每一个几乎是我想做的最后一件事。我想到了繁琐和容易出错的术语。
我一直在研究一种编写脚本的方法,但可惜我是空的。
有没有办法获取已打开 ILT 的 GPP 列表,以包含每个 ILT 配置的输出?
我遇到了一个奇怪的情况:组策略报告的域组成员身份与 Active Directory 不同。
DOMAIN\user.name已经是 的成员DOMAIN\some_group_1。我将它添加到 AD 组DOMAIN\some_group_2。该命令gpresult /v现在报告它DOMAIN\user.name不是 的成员DOMAIN\some_group_2,而 Active Directory 用户和计算机管理单元清楚地表明它是。
这两个组都具有全球范围,并且是使用 WSE 2016 仪表板创建的。
这种情况会阻止组策略首选项为此用户创建注册表项,该注册表项针对DOMAIN\some_group_2.
为什么组策略不选择新成员?
顺便说一句,Get-ADPrincipalGroupMembership user.name运行在 DC 报告该用户只是其中的成员Domain Users。
- 编辑 -
我应该澄清一下,我通过两种方法使用两台计算机连接到域:1)局域网;2)远程VPN。两个连接上的症状相同。
网络作业运行时出现错误:
Microsoft.Azure.WebJobs.Host.FunctionInvocationException:执行函数时出现异常:Functions.Cleanup ---> Microsoft.Rest.Azure.CloudException:对象 ID 为“[Redacted]”的客户端“[Redacted]”没有授权在范围“/subscriptions/[Redacted]/resourceGroups/[Redacted]/providers/Microsoft.Web/sites/[Redacted]/config/publishingcredentials”上执行操作“Microsoft.Web/sites/config/list/action”。
这是LetsEncrypt 证书更新尝试;完整的堆栈报告如下。
我在这里Microsoft.Web/sites/config/list/action找到了提供者,但它没有列在可用角色中,也没有说明如何授予它访问权限:
/subscriptions/[Redacted]/resourceGroups/[Redacted]/providers/Microsoft.Web/sites/[Redacted]/config/publishingcredentials
在过去的一年里,一切都运行良好,但这只是在过去一个月左右开始出现故障。我有两个网站正在运行这项工作,但突然之间,两个网站都因类似错误而失败。
这可能与我最近决定将扩展程序的文件从 AppData 移出到网站上一级的文件夹中有关,正如在此处讨论的那样,但由于时间问题我无法确定。
如何添加必要的权限以让 WebJob 成功运行?
1 {
2 "Type": "FunctionCompleted",
3 "EndTime": "2019-03-21T03:11:53.1829332+00:00",
4 "Failure": {
5 "ExceptionType": "Microsoft.Azure.WebJobs.Host.FunctionInvocationException",
6 "ExceptionDetails": "Microsoft.Azure.WebJobs.Host.FunctionInvocationException: Exception while executing function: Functions.Cleanup ---> Microsoft.Rest.Azure.CloudException: The client '[Redacted]' with object id '[Redacted]' does not have authorization to perform action 'Microsoft.Web/sites/config/list/action' over scope '/subscriptions/[Redacted]/resourceGroups/[Redacted]/providers/Microsoft.Web/sites/[Redacted]/config/publishingcredentials'.
7 at Microsoft.Azure.Management.WebSites.WebAppsOperations.<BeginListPublishingCredentialsWithHttpMessagesAsync>d__210.MoveNext()
8 --- End of stack trace from previous location where exception was thrown ---
9 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
10 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
11 at Microsoft.Azure.Management.WebSites.WebAppsOperationsExtensions.<BeginListPublishingCredentialsAsync>d__411.MoveNext()
12 --- End of stack trace from previous location where exception was thrown ---
13 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
14 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
15 at Microsoft.Azure.Management.WebSites.WebAppsOperationsExtensions.BeginListPublishingCredentials(IWebAppsOperations operations, String resourceGroupName, String name)
16 at LetsEncrypt.Azure.Core.KuduHelper.GetKuduClient(WebSiteManagementClient client, IAzureWebAppEnvironment settings) in D:\\a\\1\\s\\LetsEncrypt.SiteExtension.Core\\KuduHelper.cs:line 15
17 at LetsEncrypt.Azure.Core.Services.KuduFileSystemAuthorizationChallengeProvider..ctor(IAzureWebAppEnvironment azureEnvironment, IAuthorizationChallengeProviderConfig config) in D:\\a\\1\\s\\LetsEncrypt.SiteExtension.Core\\Services\\KuduFileSystemAuthorizationChallengeProvider.cs:line 22
18 at LetsEncrypt.Azure.Core.CertificateManager..ctor(AppSettingsAuthConfig config) in D:\\a\\1\\s\\LetsEncrypt.SiteExtension.Core\\CertificateManager.cs:line 31
19 at LetsEncrypt.SiteExtension.Functions.Cleanup(TimerInfo timerInfo) in D:\\a\\1\\s\\LetsEncrypt.SiteExtension.WebJob\\Functions.cs:line 73
20 at lambda_method(Closure , Functions , Object[] )
21 at Microsoft.Azure.WebJobs.Host.Executors.VoidMethodInvoker`1.InvokeAsync(TReflected instance, Object[] arguments)
22 at Microsoft.Azure.WebJobs.Host.Executors.FunctionInvoker`1.<InvokeAsync>d__8.MoveNext()
23 --- End of stack trace from previous location where exception was thrown ---
24 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
25 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
26 at Microsoft.Azure.WebJobs.Host.Executors.FunctionExecutor.<InvokeAsync>d__22.MoveNext()
27 --- End of stack trace from previous location where exception was thrown ---
28 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
29 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
30 at System.Runtime.CompilerServices.TaskAwaiter.ValidateEnd(Task task)
31 at Microsoft.Azure.WebJobs.Host.Executors.FunctionExecutor.<ExecuteWithWatchersAsync>d__21.MoveNext()
32 --- End of stack trace from previous location where exception was thrown ---
33 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
34 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
35 at Microsoft.Azure.WebJobs.Host.Executors.FunctionExecutor.<ExecuteWithLoggingAsync>d__19.MoveNext()
36 --- End of stack trace from previous location where exception was thrown ---
37 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
38 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
39 at System.Runtime.CompilerServices.TaskAwaiter.ValidateEnd(Task task)
40 at Microsoft.Azure.WebJobs.Host.Executors.FunctionExecutor.<ExecuteWithLoggingAsync>d__13.MoveNext()
41 --- End of inner exception stack trace ---
42 at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
43 at Microsoft.Azure.WebJobs.Host.Executors.FunctionExecutor.<ExecuteWithLoggingAsync>d__13.MoveNext()
44 --- End of stack trace from previous location where exception was thrown ---
45 at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
46 at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
47 at Microsoft.Azure.WebJobs.Host.Executors.FunctionExecutor.<TryExecuteAsync>d__10.MoveNext()"
48 },
49 "ParameterLogs": {},
50 "FunctionInstanceId": "[Redacted]",
51 "Function": {
52 "Id": "LetsEncrypt.SiteExtension.Functions.Cleanup",
53 "FullName": "LetsEncrypt.SiteExtension.Functions.Cleanup",
54 "ShortName": "Functions.Cleanup",
55 "Parameters": [
56 {
57 "Name": "timerInfo",
58 "DisplayHints": {
59 "Description": "Timer executed on schedule (Daily: 1 occurrences)"
60 }
61 }
62 ]
63 },
64 "Arguments": {
65 "timerInfo": "2019-03-21T03:11:49.9071967+00:00"
66 },
67 "Reason": "AutomaticTrigger",
68 "ReasonDetails": "Timer fired at 2019-03-21T03:11:48.8550732+00:00",
69 "StartTime": "2019-03-21T03:11:48.8550732+00:00",
70 "OutputBlob": {
71 "ContainerName": "azure-webjobs-hosts",
72 "BlobName": "output-logs/[Redacted].txt"
73 },
74 "ParameterLogBlob": {
75 "ContainerName": "azure-webjobs-hosts",
76 "BlobName": "output-logs/[Redacted].params.txt"
77 },
78 "HostInstanceId": "[Redacted]",
79 "HostDisplayName": "LetsEncrypt.SiteExtension.WebJob",
80 "SharedQueueName": "azure-webjobs-host-le-[Redacted]",
81 "InstanceQueueName": "azure-webjobs-host-[Redacted]",
82 "Heartbeat": {
83 "SharedContainerName": "azure-webjobs-hosts",
84 "SharedDirectoryName": "heartbeats/le-[Redacted]",
85 "InstanceBlobName": "[Redacted]",
86 "ExpirationInSeconds": 45
87 },
88 "WebJobRunIdentifier": {
89 "WebSiteName": "[Redacted]",
90 "JobType": "Continuous",
91 "JobName": "letsencrypt.siteextension.job",
92 "RunId": ""
93 }
94 }
在 Hyper-V 2016 中,尝试将我的 VM 配置从 USB 驱动器移动到默认文件夹时出现错误“不支持操作”。我只有一台主机;我将它们导出到驱动器,这样我就可以执行一些需要重新安装操作系统的硬件升级。(新的磁盘阵列仍在构建中,所以我暂时放弃移动 VHDX。配置工作正常,但我想将它们从 USB 驱动器中取出。)
我选择的选项在下面的屏幕截图中有详细说明。
我尝试过的事情:
- 关闭虚拟机(一个 Ubuntu 服务器实例)
- 仅移动主要配置,省略检查点和智能分页
- 在 PowerShell 中运行迁移
电源外壳:
$Path = "C:\ProgramData\Microsoft\Windows\Hyper-V"
Move-VM -Name "MATRIX" -DestinationHost "SERVER1" -VirtualMachinePath $Path -SnapshotFilePath $Path -SmartPagingFilePath $Path
这失败并出现相同的错误:
不支持该操作。
如何成功地将这些配置移动到 Hyper-V 主机上的默认位置?
这是在 WSE 2016 上。
我创建了一个名为“SAN Web 服务器”的证书模板。
根据这个建议,在其属性表上,我在主题名称选项卡上的请求中指定了供应。但是,该模板在注册页面上仍然不可用:
所以我想我会用另一种方式来解决这个问题——通过 MMC。
我添加了证书管理单元,并尝试请求证书:
新模板也不在这里显示,所以我尝试添加新的:
当我尝试验证服务器时,出现错误:
错误:与服务器的连接异常终止 0x80072efe (WinHttp: 12030 ERROR_WINHTTP_CONNECTION_ERROR)
此错误出现在Windows 集成和用户名/密码身份验证下,以及在将安装证书的服务器和工作站上运行时。我已经在域管理员和工作站的本地计算机管理员的上下文中运行了 MMC。
我想我已经没有技巧了。
我怎样才能获得那个新的“SAN Web 服务器”模板?
我一直在阅读文档,直到我的视线变得模糊。
我确信这有一个简单的解决方案,但我找到的所有文档都详细介绍了如何设置某些东西——没有关于特定配置是否适合我的情况。
我有一个带有两个物理网卡的 Hyper-V 2016 主机。所有虚拟机(包括 PDC)都绑定到绑定到其中一个 NIC 的 vSwitch;该电缆连接到所有工作站都连接到的物理交换机。直截了当的东西。它已经工作了很多年。
现在我需要将 NAS 设备插入第二个物理网卡,以便它可以看到第一个物理网卡上的 PDC。(我无法将 NAS 插入物理交换机,因为对于我们较旧的 CAT5 布线,该交换机必须保持在 10/100。NAS 需要 Gb 速度。我们在那里尝试了一个 Gb 交换机,但我们在工作站上遇到断断续续的连接。 )
VLAN 是解决这个问题的方法吗?组队?桥接?我迷路了,我害怕。我的眼睛正在寻找我试图解码的技术文档。
NIC 分别是192.168.2.11和192.168.2.21。虚拟机已打开192.168.2.11。
- 编辑 -
事实证明,桥接不是一种选择。这是 Hyper-V 服务器,所以没有 GUI。参考。此处:“只能通过网络连接设置或删除网桥。”
我一直收到此错误并下载失败:
PS C:\Users\Admin> docker run -ti microsoft/windowsservercore powershell
Unable to find image 'microsoft/windowsservercore:latest' locally
latest: Pulling from microsoft/windowsservercore
3889bb8d808b: Downloading [==================================================>] 4.07 GB/4.07 GB
423d66441981: Downloading [==================================================>] 1.203 GB/1.203 GB
C:\Program Files\Docker\docker.exe: read tcp 192.168.0.11:60315->72.21.81.200:443: wsarecv: An existing connection was forcibly closed by the remote host..
See 'C:\Program Files\Docker\docker.exe run --help'.
我想这是因为我的连接速度慢(1Mbps)。hello-world:nanoserver 示例下载并运行良好。
我不介意将其下载为 BITS 作业,但我需要知道两件事:
- 下载地址
- 在我的 Hyper-V 2016 主机服务器上保存文件的位置,以便 Docker 可以加载它
我误解了证书注册 Web 服务角色的用途,并且在我第一次配置新的 Server Essentials 2016 实例时错误地安装了它。
现在我发现我不需要它并且宁愿没有它,我似乎无法删除它。
注意禁用的复选框:
我尝试运行该Uninstall-AdcsEnrollmentWebService命令,但没有收到指示成功或失败的反馈;我只是发现自己回到了 PowerShell 命令提示符。该复选框保持禁用状态。
我也试过重启服务器,都无济于事。
如何删除此角色?
我无法连接PSRemote到我的 Hyper-V 主机,也无法使用 Hyper-V 管理器连接到它。这发生在客户端虚拟机上,而不是服务器虚拟机上。我可以PSRemote从服务器毫无问题地连接。
这是我的设置:
- [主机] 是 Hyper-V 2016
- [SERVER] 是 Server Essentials 2016 虚拟机
- [CLIENT] 是加入域的 VM,运行 Windows 10 v1607
- 我在域管理员帐户下同时登录了 [SERVER] 和 [CLIENT]
错误信息:
Enter-PSSession:连接到远程服务器 [HOST] 失败,并显示以下错误消息:WinRM 无法完成操作。验证指定的计算机名称是否有效,该计算机可通过网络访问,并且 WinRM 服务的防火墙例外已启用并允许从该计算机进行访问。默认情况下,公共配置文件的 WinRM 防火墙例外限制对同一本地子网中的远程计算机的访问。有关详细信息,请参阅 about_Remote_Troubleshooting 帮助主题。
[主机] 防火墙配置:
故障排除步骤:
- 我已将 [HOST] 上的 WinRM 防火墙条目设置为
All配置文件和Any远程地址 - 我已完全禁用 [HOST] 上的防火墙
- 我已经搜索了此处找到的故障排除步骤
- 我已在 [HOST] 上成功运行此命令:
C:\>winrm set winrm/config/client @{TrustedHosts="CLIENT"} - 我已在 [HOST] 上成功运行此命令:
PS C:\> Enable-PSRemoting -Force - 我已在 [CLIENT] 上启动 WinRM 服务
- 我已经查看了此问答,但那里提供的建议对我不起作用。
- 我在这里查看了所有的问答,但没有一个直接适用。我找到的最接近的是这个,但我不确定如何按照描述暂时禁用 [CLIENT] 上的 GPO。
[CLIENT] 上的 WinRM 事件日志显示以下错误:
命令:
Get-WinEvent -LogName Microsoft-Windows-WinRM/Operational -MaxEvents 10 | Where-Object {$_.LevelDisplayName -eq "Error"} | fl
结果:
TimeCreated : 3/18/2017 12:43:46 PM
ProviderName : Microsoft-Windows-WinRM
Id : 142
Message : WSMan operation CreateShell failed, error code 2150859046
TimeCreated : 3/18/2017 12:43:46 PM
ProviderName : Microsoft-Windows-WinRM
Id : 161
Message : WinRM cannot complete the operation. Verify that the specified computer name is valid, that the
computer is accessible over the network, and that a firewall exception for the WinRM service is enabled
and allows access from this computer. By default, the WinRM firewall exception for public profiles
limits access to remote computers within the same local subnet.
TimeCreated : 3/18/2017 12:43:46 PM
ProviderName : Microsoft-Windows-WinRM
Id : 138
Message : The client got a timeout from the network layer (ERROR_WINHTTP_TIMEOUT)
这也发生在我将 [HOST] 和 [SERVER] 从 2012R2 升级到 2016 之前,所以它让我相信这是 [CLIENT] 上的东西。
奇怪的是,升级后我暂时能够从 [CLIENT] 连接。我不记得这是否是在我打开 [SERVER] 上的默认安全 GPO 并从备份中导入我的自定义(非安全相关)GPO 设置之前;也许它可能与此有关?
[CLIENT] 上是否有我需要创建/启用的防火墙规则?我无法将防火墙作为故障排除步骤关闭,因为它由默认的 WSE GPO 管理;如前所述,我不知道如何暂时覆盖它(或者即使这样做是安全的)。
我曾希望应用然后删除检查点会导致自检查点被丢弃以来的所有更改,但不幸的是事实证明并非如此。
以下是我在通过 RDP 登录时使用 Win8.1 VM 所做的事情:
- 创建了一个检查点
- 在桌面上创建了一个文本文件
- 应用了检查点(已断开连接,必须重新登录)
- 登录后注意到文件不见了(到目前为止,很好)
- 删除了检查点
- 在 Hyper-V 管理器中注意到合并过程自动启动
- 文本文件神奇地重新出现在桌面上(不需要的状态)
这似乎表明 CheckPoints 不是在软件安装失败等后回滚到先前状态的可靠方法。
如果是这种情况,我们如何才能到达之前的状态并在完成后自行清理?
我在 Hyper-V 主机 SERVER2 上发出此命令:
Clear; Get-VM | ForEach {
Write-Host "Migrating: "$_.Name;
Move-VMStorage `
-VM $_ `
-DestinationStoragePath "\\SERVER1\D$";
}
两台服务器均已加入域,非集群。
这是我得到的结果:
Move-VMStorage:虚拟机“ADMIN”(4F452569-7DB9-4606-9371-A905267A7B0F)的存储迁移失败,出现错误“常规访问被拒绝错误”(0x80070005)。迁移没有成功。无法启动 VHD 文件“D:\Virtual Hard Disks\ADMIN.vhdx”到“\SERVER1\D$\Virtual Hard Disks\ADMIN.vhdx”的镜像操作:“常规访问被拒绝错误”(“0x80070005”)。您无权执行该操作。如果您认为您应该有权执行此操作,请联系您的管理员。
ACL 已正确配置:
PS C:\Users\domain.admin> Get-Acl 'D:\Virtual Hard Disks' | FL
Path : Microsoft.PowerShell.Core\FileSystem::D:\Virtual Hard Disks
Owner : BUILTIN\Administrators
Group : DOMAIN\Domain Users
Access : CREATOR OWNER Allow 268435456
NT AUTHORITY\SYSTEM Allow FullControl
BUILTIN\Administrators Allow FullControl
BUILTIN\Users Allow CreateFiles, AppendData
BUILTIN\Users Allow ReadAndExecute, Synchronize
NT VIRTUAL MACHINE\Virtual Machines Allow CreateFiles, AppendData, Read, Synchronize
DOMAIN\SERVER2$ Allow -2147483642
DOMAIN\SERVER2$ Allow CreateFiles, AppendData, Read, Synchronize
Audit :
Sddl : O:BAG:DUD:AI(A;OICIIO;GA;;;CO)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;CI;DCLC;;;BU)(A;OICI;0x1200a9;;;BU)(A;OICI;0x
12008f;;;S-1-5-83-0)(A;CIIO;DCLCGR;;;S-1-5-21-369066176-630964511-2072824237-1119)(A;;0x12008f;;;S-1-5-21-3690
66176-630964511-2072824237-1119)
和:
C:\Users\domain.admin>net localgroup Administrators
Alias name Administrators
Comment Administrators have complete and unrestricted access to the compu
ter/domain
Members
-------------------------------------------------------------------------------
Administrator
DOMAIN\Domain Admins
The command completed successfully.
C:\Users\domain.admin>net group "Domain Admins" <==(on the PDC)
Group name Domain Admins
Comment Designated administrators of the domain
Members
-------------------------------------------------------------------------------
Administrator domain.admin
The command completed successfully.
C:\Users\domain.admin>whoami
DOMAIN\domain.admin
我已将 Kerberos 委托给此处讨论。在任何可用网络下的 Kerberos 上,两台机器上都启用了传入和传出迁移。两个防火墙都关闭了。
我已经联系了我的管理员,我也不知道出了什么问题。
接下来看哪里?