我们有多个当前仍在使用 MapiOverRpc 的 Exchange 2019 服务器。来自 Internet(Mapi、ActiveSync、Owa)的连接是通过 Sophos UTM 网关(“Web 应用程序防火墙”)的反向代理功能进行的。
我们现在想切换到 MapiOverHttps。问题是我们仍然希望使用 NTLM/Kerbersos 作为身份验证方法,但是我们的反向代理无法转发这些方法,只能转发“基本身份验证”。如果我们启用此功能,所有内部和外部用户在每次打开 Outlook 时都会被要求输入密码。MAPI 虚拟目录是唯一一个我无法为内部和外部访问设置不同身份验证方法的目录。
我的问题:有什么方法可以在内部使用 MapiOverHttps,而使用 OutlookAnywhere 进行外部连接?或者一种使用 MapiOverHttps 和基本身份验证进行外部访问和 NTLM/Kerberos 进行内部访问的方法?
我已经尝试阻止/mapi反向代理上的 url,希望这将回退到 OutlookAnywhere。这不起作用,Outlook 只是没有连接。
我们在 vCenter 服务器上收到日志磁盘磁盘空间不足的错误。根据VMWare KB,我们检查了消耗空间的内容。我们发现了很多名为“catalina_[DATE].log”的日志文件,大小为 11mb,可以追溯到将近一年。
我检查了日志的内容,每 10 分钟它会创建相同的错误消息:
2021-04-12T23:59:53.056Z WARN org.apache.catalina.users.MemoryUserDatabase Failed to close [conf/tomcat-users.xml]
java.io.FileNotFoundException: /usr/lib/vmware-sso/vmware-sts/conf/tomcat-users.xml (No such file or directory)
at java.io.FileInputStream.open0(Native Method)
at java.io.FileInputStream.open(FileInputStream.java:195)
at java.io.FileInputStream.<init>(FileInputStream.java:138)
at java.io.FileInputStream.<init>(FileInputStream.java:93)
at sun.net.www.protocol.file.FileURLConnection.connect(FileURLConnection.java:90)
at sun.net.www.protocol.file.FileURLConnection.getInputStream(FileURLConnection.java:188)
at org.apache.catalina.users.MemoryUserDatabase.backgroundProcess(MemoryUserDatabase.java:700)
at org.apache.catalina.realm.UserDatabaseRealm.backgroundProcess(UserDatabaseRealm.java:160)
at org.apache.catalina.realm.CombinedRealm.backgroundProcess(CombinedRealm.java:308)
at org.apache.catalina.core.ContainerBase.backgroundProcess(ContainerBase.java:1145)
at org.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.processChildren(ContainerBase.java:1381)
at org.apache.catalina.core.ContainerBase$ContainerBackgroundProcessor.run(ContainerBase.java:1353)
at java.lang.Thread.run(Thread.java:748)
VMWare 只是告诉我删除文件并扩大我的日志磁盘,我照做了。但它仍然困扰着我正在发生的事情,到目前为止,我还没有在网络上找到与 vCenter 相关的任何内容。
任何人都知道这里发生了什么,以及如何解决这个错误?我知道有很多方法可以忽略它,也许忽略它是安全的,但我只想知道错误本身是否可以修复。
有很多关于 windows 页面文件大小的建议。我正在寻找的是正确的位置。
我们在具有多个单独虚拟磁盘的 Server 2012R2 VM 上运行 MS SQL 服务器:
目前,Windows 已经控制了页面文件。它将其大小调整为 38GB(内存为 265),并将其与日志文件一起放在磁盘上。就我的理解而言,这种放置是不合逻辑的:包含 SQL 事务日志文件的磁盘是 SQL 服务器上 I/O 最重的磁盘。它真的是页面文件的最佳位置吗?至于存储空间,我可以轻松地将文件移动到另一个驱动器。
我知道,Windows 可能有理由将文件放在那里 - 但如果是这样,这可能是什么?还是我的想法有问题?
我们的网络中有一个奇怪的问题,根据 networkengineering.stackexchange 在那里是题外话,尽管在我看来这是一个网络问题。
当我们想将 SQL 数据库恢复到测试数据库时,我们第一次看到它。还原失败,在 windows 日志中我们看到 iSCSI 错误,挂载的 iSCSI 磁盘似乎经常失去连接(使用 veeam 还原备份 - 这会将备份文件挂载为 iSCSI 卷(目标是物理备份服务器,启动器是虚拟 SQL服务器))。
我们做了一些测试,这不仅仅是 iSCSI 问题,当我们在物理服务器和虚拟服务器之间复制文件时会发生这种情况。我们的监控显示在复制过程中出现了很高的错误,奇怪的是我们在交换机上没有看到错误。
当我们复制大文件时,我们在虚拟服务器的交换机端口(交换机是 Netgear M5300)上看到的是“接收的数据包 > 1518 个八位字节”和“发送的数据包 > 1518 个八位字节”。但是大于 1518 的“数据包 RX 和 TX”为 0。这仅发生在 ESX 的端口上,在任何测试中都不会发生在其他服务器的端口上。
所有端口(交换机、vSwitch、端口组、服务器接口)都将 MTU 设置为默认值 (1518 / 1500)。我们重新启动了备份服务器和所有包含 VM 的 esx,禁用并重新启用了交换机端口。发送服务器上的 Wireshark 显示大数据包(64kb),但根据交换机统计,此端口仅接收正常的 1518 帧。
即使我们将文件上传到 esx 数据存储,它似乎只发生在这个测试 esx 上,我们拥有的所有虚拟机。
我不知道在哪里搜索了。我们唯一还没有重启的是交换机本身,因为这是网络中的核心组件,我们不能在生产期间这样做(生产是 24/7)。我们将在周末尝试这个,但如果有人有提示在哪里看,我将不胜感激。
编辑:为了完整起见,一个小的拓扑:
EDIT2:进行了更多测试:错误仅在具有多个 vlan 的上行链路端口上可见。如果我只使用一个未标记的 vlan,那么任何地方都没有错误,也没有超过 1518 的数据包。
如果我现在考虑一下,带有 VLAN 标记的数据包的大小为 1522。但有些交换机不关心这一点,有些则关心——MTU 到处都是默认值。我不想停止在 vmware 中使用标记的 VLAN……知道吗?
Cisco 交换机实现了一种称为“链路状态跟踪”的系统 - 可以定义一个上行链路端口,并且可以定义使用该上行链路端口的多个下行链路端口。如果上行链路端口出现故障(下一个交换机出现故障,电缆故障......),下行链路端口也将被禁用。HP 将此功能称为“Smartlink”。
我们在虚拟环境中使用 Netgear M7100-24x 交换机,出于冗余目的,此功能非常适合我们的需求。
所以问题是:Netgear 是否使用类似的东西,如果是,他们怎么称呼它?
编辑:由于没有人知道这样的功能,因此在 netgear 社区中启动了一个线程-也许他们知道如何实现这一点,或者我可以在某处将其作为功能请求...
我有一个内部 Microsoft Windows CA (Windows Server 2012R2)。我有一个发给少数用户的 CodeSigning 模板,有效期为 6 年。现在我想用另一个有效期较短的模板来取代 6 年的模板。
我复制了模板,将“有效期”的值从 6 年更改为 3 年,并在“取代模板”下添加了 6 年模板。然后我禁用了 6 年模板并启用了 3 年模板。
当我现在去找客户并尝试“使用相同的密钥续订证书”时,这不起作用,因为缺少 6 年模板。
所以我的问题:
感谢您的任何意见
我正在尝试使用 SCCM 2012 R2 进行以下部署:
TS 正在运行,在 Softwarecenter 中显示为安装成功。除了在 OSD 期间没有安装两个应用程序 - Google Chrome 和 Adobe InDesign。
在 OSD 之后通过 Softwarecenter 成功安装了这两个应用程序,没有错误。使用其他任务序列,这两个应用程序都可以在 OSD 期间和使用 Softwarecenter 安装,而不会出现错误。
在任务序列步骤“安装应用程序”期间,显示有 8 个应用程序要安装。但是这两个似乎只是被跳过了——smsts.log 或appenforce.log 中没有错误。在最后一个我只能找到安装的应用程序,没有关于 Chrome 或 InDesign 的信息。
我检查了什么:
有什么想法我可以看看或问题可能出在哪里?
编辑:
在虚拟机上再次测试:我在 OSD 期间在 TS 中安装了这两个应用程序,用于安装域客户端。这两个应用程序都在 OSD 之后直接出现。然后我在同一台机器上安装了 Workgroup TS。缺少 Chrome 和 InDesign。AppEnforce.log 没有显示它们的迹象......就像它们不存在一样......
编辑2:
现在我知道为什么日志中没有任何内容:我启用了复选框“如果应用程序安装失败,请继续安装列表中的其他应用程序”。我期待应用程序部署期间的错误仍然会被记录 - 但事实并非如此。
现在我禁用了这个复选框,我看到 Chrome 和 InDesign 的错误:错误 0x80004005,以及执行状态 24(应用程序下载失败)。我仍然没有看到问题,因为可以使用其他任务序列或在使用 CMClient 的 OSD 之后安装相同的应用程序。两次都没有错误...
EDIT3:我无法解释为什么,但是在我做了 Omnomnomnom 推荐的操作之后,Chrome 正在 OSD 期间安装。InDesing 不是。我现在什至完全删除了 SCCM 中的应用程序并重新创建了它。没有改变任何东西......我想我必须去微软支持......
环境信息:带有 3 个 2012 R2 域控制器的 Windows 域。
我正在尝试在 kiosk 模式下构建 Windows 8.1,只有一个可以访问特定网站的浏览器。
在 GPO 的帮助下 - 部分启用了用户设置和 GPO 环回处理 - 我将 Internet Explorer(使用 -k 选项 -> 全屏 Kiosk 模式)设置为自定义用户界面,因此不会有 Windows Explorer,只有 IE,大多数 Windows 快捷方式不起作用,键盘上的 windows 键已启用。用户(“域访客”组中的域帐户)自动登录。在计算机上,我从用户中删除了“域用户”组,并直接添加了 kiosk 用户。
这工作正常,只要计算机在线。当我拔下网络电缆时,Windows 正在引导资源管理器而不是自定义用户界面,并且应该在后台运行的任务 - 也通过 GPO 配置 - 没有启动。我可以看到所有设置,即自定义用户界面的注册表项设置为 IE Kiosk 模式,所以 Windows 应该知道所有设置......但只要计算机没有连接到我们的 DC,它们就会被忽略!
这不仅是这台自助服务终端计算机的问题 - 我一直认为 GPO 是在本地缓存和执行的,因此笔记本电脑将在我们的网络中从我们的 DC 获取设置,当笔记本电脑离开建筑物并且用户正在工作时在火车上,我们的设置应该仍然适用!我错了吗?或者我做错了什么?
编辑:
尝试不使用环回处理,但没有成功。禁用环回处理->重新启动后没有用户设置-正如预期的那样。为用户创建了一个新的 GPO,链接它,启用它 -> 重新启动,然后应用用户设置。但是:在没有网络连接的情况下重新启动,并且设置不适用。
编辑2:
再进行一些测试,看起来好像计算机设置已正确应用,但用户设置被忽略了。他们甚至从注册表中消失了(我确信这在以前没有发生过......)。
TL;DR : 是否可以安装某种本地 kms 激活代理,所以客户端只能与代理通信,代理会将激活请求转发到客户端自己无法访问的 kms 服务器?
在我们大学,我们为学生提供了两个客户端池:一个具有 50 个 Win7 客户端的硬件池,以及一个具有 Win8.1 客户端的虚拟 VMWare View 池。VMWare View 不支持 MAK 激活,所以我们必须使用 kms - 我们也想在硬件池中使用 kms 激活。这些池使用的是ip地址池,外部无法访问,只能通过web代理访问80和443端口。
由于我们州的大学之间的合作,有一所大学在微软注册,所有其他大学都在使用那里的许可证。这所大学有一个我们可以使用的 kms 服务器,他们不希望我们建立自己的 kms 服务器 - 他们说微软不喜欢在同一个许可组织中拥有太多 kms 服务器。
所以我们想要做的是:我们的客户在私有子网中并且被外界封锁,除了 http/https 想要与另一个机构的 kms 服务器通信 - 因为他们为不同的机构提供 kms 服务器,我不认为他们会接受改变他们的kms端口......
我能做的就是把一种网关服务器放在中间——一只脚在互联网上,一只脚在私人客户端网络上,然后这个“代理”可以从客户端获取激活请求并将它们传递给外部公里服务器。
这有可能吗?我读到的关于与 win 许可组合的代理的唯一内容是 mak 密钥的代理激活......但这无济于事。
我正在尝试使用 Windows 8.1 客户端在 VMWare Horizon View 5 中构建一个新的虚拟桌面池。目前,我正在优化图像以获得最佳性能,包括使用来自 Microsoft Technet 的优化脚本。在此脚本中,有一部分通过更改注册表项禁用了 Windows(Aero Peek...)中的视觉效果。问题是,这些键位于“HK_Current_user”下,因此如果脚本按照建议作为部署的一部分运行,这些更改不会影响新用户帐户。
现在我已经搜索了两天来找到一种方法来为所有新用户禁用这些视觉效果 - 启用这些效果后,VDI 非常慢。
我发现有几个页面建议更改或创建不同的注册表项,其中一些在 local_machines 下,对于一些我必须导入默认用户的 NTUSER.dat。
所有这些解决方案的问题:它们不起作用。也许是因为他们需要再次重新启动才能生效。但是我们的虚拟桌面在用户注销后被重置。
tl;博士
我有 VMWare Horizon View,我想为新的虚拟 Windows 8.1 桌面优化图像,并且我想禁用所有新用户配置文件的所有视觉效果(Aero Peek...) - 因为每次用户登录时,虚拟桌面被重新创建,因此新用户将获得一台未使用的新创建的机器。
有谁知道通过 Powershell、批处理文件、GPO 来做到这一点的方法......但是没有(不工作的)注册表项?或者有没有人知道如何通过注册表更改来做到这一点,即使用户只能登录一次 - 所以无需重新启动,重新登录?
编辑:我现在尝试使用本手册 创建一个全新的用户配置文件。所有步骤都有效,但是当我创建一个新的用户帐户时,视觉效果并没有被禁用……微软有没有办法设置默认的视觉效果?
EDIT2: 新的疯狂行为:创建新用户时,GUI 中的设置有时会非常不同。我现在正在使用全新安装,在我开始更改 reg 键之前,现在在 GUI 中设置了最佳性能 - 但它们并未真正设置为最佳性能:所有功能仍然启用,即使GUI 告诉我们不同的东西。您必须更改设置,将其重新设置为最佳性能,然后才能真正禁用这些功能。
我在 Windows 域中遇到问题。关于这个域的创建我不能说太多 - 我上个月得到了这份工作,由于主要管理员生病而没有适当的移交。我所知道的是:我们有一个域 contoso-5.contoso-hq.old(contoso-hq 不在我们的控制之下 - 一种与其他公司的广域网),有两个域控制器,dc01 和 dc02(Windows服务器 2003)。我的前任开始使用域控制器 dc04、dc05(Windows Server 2012R2,物理服务器)和 dc06(Windows Server 2008r2,在 VMware esx 上虚拟化)构建一个新的域 contoso.new。我们在两个域之间配置了信任关系。
dc05 是 PDC、DHCP 和 DNS,dc4 是基础设施 Master,也是 DNS 和故障转移 DHCP。
启动监控系统后,我在域控制器上看到了很多错误。我仍然无法解决的问题是仅在 dc04 上出现,但每 4 小时 4 分钟出现一次:
由于以下原因,此计算机无法与域 CONTOSO.NEW 中的域控制器建立安全会话: 当前没有可用于处理登录请求的登录服务器。这可能会导致身份验证问题。确保这台计算机已连接到网络。如果问题仍然存在,请联系您的域管理员。
附加信息 如果此计算机是指定域的域控制器,它会设置与指定域中的主域控制器模拟器的安全会话。否则,此计算机将与指定域中的任何域控制器建立安全会话。
运行 dcdiag 显示两个错误:
Starting test: Advertising
Warning: dc04 is not advertising as a time server.
......................... dc04 failed test Advertising
和
Starting test: LocatorCheck
Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355
A Primary Domain Controller could not be located.
The server holding the PDC role is down.
......................... contoso.new failed test LocatorCheck
(所有其他测试均通过)。
第一个错误:我们与世界的网络连接非常受限:我们有一个代理服务器只允许端口 80 和 443,所有其他端口都需要在 Contoso 总部请求。所以从来没有与外部源的时间同步。现在我已将 dc05 (PDC) 配置为从 Contoso HQ-NTP-Server 获取时间。所有其他客户端和服务器都从 dc05 获取新时间,但不是 dc04。w32tm /query /status 显示:
跳跃指示器:3(最后一分钟有 61 秒)
层数:0(未指定)
精度:-6(每滴答声 15.625 毫秒)
根延迟:0.0000000s
根色散:0.0000000s
ReferenceId:0x00000000(未指定)
上次成功同步时间:未指定
来源:本地 CMOS 时钟
轮询间隔:6 (64s)
我已经比较了 dc4 和 dc6 的注册表项(他应该像他应该的那样从 dc05 获取时间),它们看起来是一样的。还尝试了 w32tm 注销,重新同步,没有任何改变。
似乎 dc04 甚至不将 dc05 识别为域控制器。dns 和 dhcp 复制工作正常,我可以从 dc04 ping dc05,nslookup 可以从 dc 到内部和外部目标。nslookup contoso.new 将 dc4、dc5 和 dc6 的 IP 地址显示为地址。
在 dc04 我有另一个错误,我不确定这是否与它有关:
“在没有配置的 DNS 服务器响应后,名称 2.0.0.2.ip6.arpa 的名称解析超时。”
dc04 上的 DNS 配置与 dc05 上的相同。
经过数小时的互联网搜索,我现在唯一的选择是从域中删除 DC04 并重新安装它。但如果有人能帮我解决这个麻烦并知道我的系统发生了什么,我会很高兴……
至于为什么,如果你问自己 dc03 发生了什么……我也在问自己同样的问题……不干净的移除 DC03 会导致这些问题吗?
感谢您的帮助!
编辑
根据 STTR 的要求,以下是普通客户端(win7)的 cmd 结果(它是德语系统,如果您需要任何翻译,请告诉我):
“ipconfig /全部”
Windows-IP-配置
主机名 。. . . . . . . . . . . : GPO-TEST-TH
Prim„res DNS 后缀。. . . . . . : 域名.com
记号。. . . . . . . . . . . : 杂交种
IP 路由活动。. . . . . : 宁
WINS-代理 aktiviert 。. . . . . : 宁
DNS-Suffixsuchliste 。. . . . . . : 域名.com
以太网适配器 LAN-Verbindung:
Verbindungsspezifisches DNS 后缀:domain.com
请注意。. . . . . . . . . . : Intel(R) 以太网连接 I217-LM
物理地址。. . . . . : xx-xx-xx-xx-xx-xx
DHCP 激活。. . . . . . . . . : 贾
自动配置活动。. . : 贾
Verbindungslokale IPv6 地址。: xxxx::xxxx:e24c:xxxx:xxxx%13(贝沃祖格特)
IPv4 地址。. . . . . . . . . : xxx.xxx.43.4(贝沃祖格特)
子网掩码。. . . . . . . . . : 255.255.255.0
租赁 erhalten。. . . . . . . . . : Dienstag, 17. Februar 2015 09:27:00
租赁 l„uft ab. . . . . . . . . . : Freitag,2015 年 2 月 20 日 09:27:00
标准网关。. . . . . . . . : xxx.xxx.43.254
DHCP 服务器。. . . . . . . . . . : xxx.xxx.182.69
DHCPv6-IAID。. . . . . . . . . . : 277879566
DHCPv6-客户端-DUID。. . . . . . . : xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-xx-18-B6-30
DNS 服务器。. . . . . . . . . . : xxx.xxx.182.67 xxx.xxx.182.66 xxx.xxx.80.51
NetBIOS ber TCP/IP 。. . . . . . : 活动
隧道适配器 isatap.domain.com:
中间状态。. . . . . . . . . . : 中等 getrennt
Verbindungsspezifisches DNS 后缀:domain.com
请注意。. . . . . . . . . . : Microsoft-ISATAP-适配器
物理地址。. . . . . : xx-xx-xx-xx-xx-xx
DHCP 激活。. . . . . . . . . : 宁
自动配置活动。. . : 贾
隧道适配器 LAN-Verbindung* 3:
中间状态。. . . . . . . . . . : 中等 getrennt
Verbindungsspezifisches DNS 后缀:
请注意。. . . . . . . . . . : Microsoft-6zu4-适配器
物理地址。. . . . . : 00-00-00-00-00-00-00-E0
DHCP 激活。. . . . . . . . . : 宁
自动配置活动。. . : 贾
隧道适配器 LAN-Verbindung* 9:
中间状态。. . . . . . . . . . : 中等 getrennt
Verbindungsspezifisches DNS 后缀:
请注意。. . . . . . . . . . : Microsoft-Teredo-Tunneling-Adapter
物理地址。. . . . . : 00-00-00-00-00-00-00-E0
DHCP 激活。. . . . . . . . . : 宁
自动配置活动。. . : 贾
“nslookup domain.com”
服务器:dc04.domain.com
地址:xxx.xxx.182.67
名称:domain.com
地址:xxxx:xxxx:xxxx::c1c5:b648 xxxx:xxxx:xxxx::c1c5:b645 xxxx:xxxx:xxxx::c1c5:b643 xxx.xxx.182.72 xxx.xxx.182.69 xxx.xxx.182.67
"net view domain.com"
Freigegebene Ressourcen auf domain.comFreigabename Typ Verwendet 饰演 Kommentar
NETLOGON Platte 登录服务器共享
SYSVOL Platte 登录服务器共享
Der Befehl wurde erfolgreich ausgefhrt。
“cd \domain.com\”
"cd \domain.com\SYSVOL\domain.com\"
"cd \domain.com\SYSVOL\domain.com\Policies"
“dsquery 服务器-domain domain.com -isgc”
“nslookup gc._msdcs.domain.com”
服务器:dc04.domain.com
地址:xxx.xxx.182.67
名称:gc._msdcs.domain.com
地址:xxxx:xxxx:xxxx::c1c5:b643 xxxx:xxxx:xxxx::c1c5:b645 xxx.xxx.182.67 xxx.xxx.182.69