我正在配置 GPO 以将本地组添加到用户权限策略,但是,当通过 GPO 进行配置时,GPO 应用程序上的所有现有权限成员都将被删除。您显然可以将所有用户添加到 GPO 以确保保留这些用户,但是当用户仅位于远程服务器的本地时,例如 NT SERVICE\SQLSERVERAGENT,这不能从 DC 添加到 GPO,而 DC 根本不会认出它。
当用户权限应仅包含域帐户/组、内置用户/组但如果需要添加其他用户类型则应使用手动添加时,我是否正确假设这是使用 GPO 的情况?
如果是后者,那就可惜了。可以像使用本地用户/组一样通过 GPP 进行配置,并且可以选择保留现有成员,这将解决这一初步观察
干杯杰米
我可以使用以下 PowerShell 代码查询 IIS 中的默认文档列表:
Get-WebConfigurationProperty -Filter "//defaultDocument/files/add" -PSPath 'MACHINE/WEBROOT/APPHOST' -Name "value" | select value
…但我想完全禁用默认文档功能以解决漏洞。我没有发现太多关于通过 PowerShell 禁用该功能的信息,但 MS 文档说可以运行以下命令来删除一个值:
remove-webconfigurationproperty /system.webServer/defaultDocument -name files -atElement @{value="foo.html"}
这真的是禁用该功能的唯一方法吗?我没有发现任何表明它可以像在 IIS 管理控制台中那样简单地被禁用的东西。
我在某些服务器上配置 IIS 以将拒绝 HTTP 动词添加到请求过滤部分。这是使用以下方法完成的:
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter 'system.webServer/security/requestFiltering' -Value @{VERB="OPTIONS";allowed="False"} -Name Verbs -AtIndex 0
…但是,我希望能够在配置后确认它的存在。下面显示了一些属性,但不是实际的 HTTP 动词列表:
Get-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST' -filter 'system.webServer/security/requestFiltering' -Name Verbs
从那以后,我发现以下命令确实显示了“动词”的标题,但无论 IIS 管理控制台中是否存在“选项”,它都是空的:
Get-WebConfiguration system.webServer/security/RequestFiltering/verbs -Recurse | Select-Object Verbs
我需要添加什么来列出出现的动词?
在 Configuration Manager 控制台中,我为 WMF5.1 创建了一个依赖于 .NET Framework 4.7.2 的应用程序包。它还取代了 WMF3.0,因此如果通过 PowerShell 脚本检测方法存在,则包含一个卸载操作。该部署还要求 Windows Server 2008 R2 64 位的操作系统。
我已将此部署到一个设备集合中,其中包含一个 Windows 2008 R2 64 位服务器(是的,该软件包使用 64 位安装程序)。此服务器已安装 SCCM 代理并且网络连接工作正常。
部署没有时间限制,只是设置为“尽快”。
所有边界组均已正确配置,并且之前已部署到此服务器和同一子网中的许多其他服务器,没有问题。
一天后检查此部署的监控选项卡时,饼图完全是灰色的。我已多次运行摘要,此部署的所有状态选项卡仅显示消息“状态信息当前无法用于此部署”
我检查了 SMS_CCM\Logs 文件夹中的一些服务器日志,但没有看到任何明显的东西。我假设这还没有到达客户端,因为部署看起来还没有检测到集合中的设备!?
我觉得我在这里遗漏了一些东西,但即使我的依赖或取代规则是错误的,部署肯定会出错,而不是什么都不显示!
我正在努力了解如何解决似乎没有记录此操作的任何活动的问题。
有任何想法吗?
我最近向域中添加了一些 Windows Server 2016 服务器,并注意到现在通过使用以下 PowerShell cmdlet 生成它来检查本地 Windows 更新日志:
Get-WindowsUpdateLog
问题是,出于安全合规性原因,这些服务器几乎都明确要求阻止出站访问,因此没有对 Internet 的一般访问。这会在生成日志文件时导致问题,每行的输出为:
GUID=1234....(未找到格式信息)
我知道这与访问 msdl.microsoft.com/download/symbols 上的 Microsoft 公共符号服务器有关,并且已在两个端口 80/443 上允许该站点。浏览该网站的两个版本都会显示一个确认可以访问的页面,但 Windows 更新日志生成仍然无法正常工作。
我知道这是与 Web 过滤相关的,因为完全禁用过滤器可以生成正确翻译的文件。
不幸的是,我无法直接访问由第三方管理的 Web 过滤解决方案,因此故障排除/监控并不像我希望的那样简单。
此过程是否有任何其他 URL 需要访问我缺少的?
我有一个 Windows Server 2008 R2 WSUS 服务器,它目前可以与 Windows Server 2008/2012 R2 客户端服务器混合使用。所有按预期报告并下载/安装更新。
我最近向网络添加了两个 Windows Server 2016 (1607) 客户端,它们只是不想与 WSUS 服务器保持一致的通信,在 Windows 更新客户端事件日志中重复给我两个错误 80248014 和 8024500C。
在添加这些 2016 服务器后,我最初注意到 WSUS 服务器上的 CPU/内存较高,并找到了一篇解释原因并提供解决方案的文章。这涉及 WSUS 3.0 SP2 的修补程序KB4039929和其他一些更改 ASP.NET 超时和配置 IIS 以停止回收 WsusPool AppPool 的建议。我还发现了一些其他建议的更改,如下所示:
这确实消除了事件日志中的高 CPU 使用率和错误 8024401c,但没有消除上面提到的 80248014 和 8024500C。
我更新了中央商店中的 ADMX 模板,只是为了确保所有设置都可用,并且我没有遗漏任何可能会影响这一点的明显设置。
以下两个 GPO 设置都已更改为指定的值:
“安装其他 Microsoft 产品的更新” - 已启用
“不要连接到任何 Windows 更新 Internet 位置” - 已禁用
我尝试了以下建议重置 Windows 更新服务器和组件以及运行以下命令: wuauclt /resetauthorization /reportnow /detectnow
不幸的是,以上都没有解决我看到的问题。
我在生成 WindowsUpdate.Log 文件 atm 时遇到了一些问题,并出现错误“未找到格式信息”,因此目前正在对此进行调查以进一步调查。
我注意到但很确定这只是表面上的一件事是,在加入域后,Windows 更新服务将其显示名称更改为 wuauserv。这不会在任何其他版本的 Windows 上发生,但是,该服务似乎可以正常启动/停止。
最后,我在这些 2016 端点上为 Windows Server Update Service 运行了免费的 Solarwinds 诊断工具,报告 Windows 更新代理版本当前为 6.2.14393.3085,需要更新。在调查了如何执行此操作后,我可以看到最新的 Windows 2016 CU KB4507459将包含迄今为止所需的所有更新,包括 WU 代理更新,因此已安装。WU 代理 wauaeng.dll 现在报告 10.0.14393.3085 然而,Solarwinds 工具仍然报告旧的过时版本,但认为这可能只是一个红鲱鱼。我没有看到任何手动更新代理的方法,因此就我所见,CU 更新似乎是唯一的方法。
我有以下设置:
尝试在 DFS 主机 (Server1) 上运行复制文件夹向导时,出现以下错误:
NetAppCIFSFiler:无法判断服务器是否为集群。表示两个修订级别不兼容。
是否可以在我当前的设置中使用 DFSR,如果可以,除了明显的原因之外,如何解决错误?
我是一名域管理员,试图创建所有 AD 用户的导出,记录所有 msExch 属性(Exchange 2010)。
以下工作正常:
Get-ADUser <sAMAccountName> -Properties * | Select name, *msexch*
以下没有:
Get-ADUser -Filter * -Properties * | Select name, *msexch*
相反,我得到一个名为msexch的列,没有任何值
我错过了什么?
继企业 CA 证书请求错误之后,我在 Windows 2012 R2 上安装了新的 SHA2 CA 以及 CA Web 注册,现在我可以从外部浏览器请求证书并从 CA 控制台成功颁发这些证书,但是,当我返回检查未决证书请求的状态并尝试安装它时,它会重定向到http://CertificateAuthority/certsrv/certnew.cer?ReqID=CACert&Renewal=0&Mode=inst&Enc=b64显示 HTTP 500 内部服务器错误页面.
我修改了 CertSrv 站点的 web.config 以将错误模式更改为“详细”,但只是显示上述页面。在此站点的 W3SVC1 日志中,我可以看到以下错误:
软件:Microsoft Internet Information Services 8.5 版本:1.0 日期:2017-04-06 10:21:24 字段:日期时间 s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c- ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2017-04-06 10:21:24 83.231.185.99 GET /certsrv/certnew.cer ReqID=CACert&Renewal=0&Mode=inst&Enc=b64|5|ASP_0126|Include_file_not_found 443 - 172.21.51.241 Mozilla/5.0+(Windows+NT+6.1 ;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko https://CertificateAuthority/certsrv/certfnsh.asp 500 0 0 234
2017-04-06 10:24:12 83.231.185.99 POST /certsrv/certfnsh.asp - 443 - 172.21.51.241 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0) +like+Gecko https://CertificateAuthority/certsrv/certckpn.asp 200 0 0 124
2017-04-06 10:24:17 83.231.185.99 GET /certsrv/certnew.cer ReqID=CACert&Renewal=0&Mode=inst&Enc=b64|5|ASP_0126|Include_file_not_found 443 - 172.21.51.241 Mozilla/5.0+(Windows+NT+6.1 ;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko https://CertificateAuthority/certsrv/certfnsh.asp 500 0 0 15
我想从中读到找不到文件,但这是我需要帮助的地方。
当试图打开 C:\Windows\System32\certsrv 中的 certnew.cer 文件时,我会看到以下消息:
无效的公钥安全对象文件 - 此文件无效,不能用作以下用途:安全证书。
但是,我似乎也无法在没有看到这个问题的现有工作旧 CA 上打开它,所以感觉这是预期的!?
从 CA 服务器本身和其他内部服务器上的浏览器单击安装链接可以很好地安装此链接,因此仅从外观上看似乎是一个外部问题。
有任何想法吗?
我最近设置了一个新的 Windows 2012 R2 Enterprise SHA2 颁发 CA 来替换旧的 Windows 2008 R2 SHA1 颁发 CA。这也安装了 Web 注册,供公众访问,因此所有 DNS 记录都可以通过 Web 与受信任的证书联系。除了测试申请证书的最后阶段之外,一切似乎都很顺利。提交申请表后,会显示以下错误:
请求模式:newreq - 新请求
处置:(从未设置)
处置消息:(无)
结果:帐户名称和安全 ID 之间没有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
COM 错误信息:CCertRequest::Submit:帐户名称和安全 ID 之间没有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
LastStatus:帐户名称和安全 ID 之间没有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
建议的原因:没有建议。
最后一部分是我最喜欢和最有帮助的......!
到目前为止调查此错误表明这是由于在 IIS 内的 certsrv 站点上启用了匿名身份验证,但这是一个面向公众的 CA,并且不希望客户端受到挑战/提示输入凭据,因为他们没有任何首先使用。此外,以前的 SHA1 CA 只启用了匿名身份验证,并且没有出现任何挑战,所以看不出为什么这个有任何不同。
有任何想法吗?
我有与此处提到的相同的问题修复 IIS 波浪号漏洞并已应用所有建议的修复:
使用IIS Shortname Scanner PoC工具时,我仍然得到易受攻击的结果, 结果如下:
IIS 短名称 (8.3) 扫描程序版本 2.3.8(2016 年 2 月 25 日)- 扫描开始于 2017/03/06 20:10:05
对我来说,这并不能真正帮助确定问题出在哪里,而且它仍然很脆弱。我正在使用的命令是:
java -jar iis_shortname_scanner.jar 2 20 https://website.name.com/
我有三个应用程序服务器位于负载均衡器后面,但只要服务器已修复,我不明白为什么这会有所作为......
我认为最好开始一个新问题,因为已经解决了另一个线程并提供了成功的修复,但不幸的是,我并非如此。
我有一台服务器,每天都会产生数百个 DCOM 错误 (10009)。
DCOM 无法 使用任何配置的协议与计算机ServerName.Domain.local进行通信。
该服务器确实存在,但位于单独的子网上,因此无法访问该服务器实际上是一项要求,因此对配置防火墙以允许访问不感兴趣。
我发现的有关此错误的许多线程都表示这完全取决于防火墙或过时的 DNS 记录,但它们都没有提供任何建议来查找生成这些错误的原因以及如何简单地停止/抑制它们。我不知道有任何需要从该服务器轮询服务器,所以不确定它为什么首先这样做。
有任何想法吗?
干杯
我对应用 Exchange 2010 sp3 汇总包有点不放心。我已经安装了 11 个包,但是 12 个安装失败,并在停止服务后立即回滚,出现 1603 错误。该日志有各种错误,因此将发布每个错误的片段,希望有人能够提供帮助。
这些错误与日志中最后一个错误的顺序相反。
MSI (c) (00:6C) [16:35:05:521]:注意:1:2262 2:错误 3:-2147287038 MSI (c) (00:6C) [16:35:05:521]:转换表错误。
其次是
属性 (C):msgINTERIMUPDATEDETECTED = 无法安装,因为已安装 Exchange Server 2010 的先前临时更新。请在再次运行此安装程序之前使用添加/删除程序卸载临时更新。
ARP 列表中没有临时更新
下一个有点令人困惑,因为据我所知,这个汇总似乎只有一个架构版本(x64)可用。我一直在尝试找出如何检查安装了哪个版本的 Exchange,但尚未设法找到它。我很确定它是 64 位的。汇总包是 x64。
属性 (C):msgRequiresProc = 此文件的版本与您正在运行的 Exchange Server 2010 版本不兼容。检查您的计算机以查看您是否需要此文件的 x64(64 位)或 x86(32 位)版本。
下一个似乎是矛盾的,因为我以域管理员身份登录,而域管理员又具有 Exchange Server 管理员权限。我还有另一个域管理员尝试安装它,但没有运气。
属性(C):msgErrorExchangeAdmin = 当前登录的用户没有足够的权限来安装这个包。您至少需要当前计算机上的 Exchange Server 管理员权限才能完成此任务。
然后
MSI (c) (00:30) [16:34:52:567]: 注意: 1: 2262 2: 错误 3: -2147287038 调试: 错误 2826: Control BottomLine on dialog FatalError 超出对话框边界到向右 5 像素 安装程序在安装此软件包时遇到意外错误。这可能表明此软件包有问题。错误代码为 2826。参数为:FatalError、BottomLine、右侧
我敢说这些都是与在汇总中安装的不同组件有关的所有错误,我很难将手指放在它上面。
我一直在从管理员提示符下运行安装程序,并且根据许多建议禁用了 UAC。我错过了什么明显的东西吗?