要让计算机在不重新启动计算机的情况下更新其组成员身份,您可以使用命令清除 kerberos 票证klist -li 0x3e7 purge
。随后的gpupdate
或gpresult
将反映新的组成员资格。
但是,这似乎不适用于域控制器。为什么?
票证已成功清除,但后续gpresult /r
未反映更改。
要让计算机在不重新启动计算机的情况下更新其组成员身份,您可以使用命令清除 kerberos 票证klist -li 0x3e7 purge
。随后的gpupdate
或gpresult
将反映新的组成员资格。
但是,这似乎不适用于域控制器。为什么?
票证已成功清除,但后续gpresult /r
未反映更改。
我有以下简化的配置:
本质上,我有一个带有两个物理网络适配器的 ESXi 主机。每个适配器插入不同的开关。每个交换机都通过一个中继端口连接。一台 PC 连接到其中一个交换机。具有 VMKernel 端口和 VM 端口的 vSwitch 配置为在 Active/Active 配置中使用两个物理 NIC:
我已经运行esxtop
,可以看到 ESXi 主机选择了连接到交换机 2 的物理网卡作为 VMKernel 端口。从 PC 上,如果我 ping ESXi 主机的管理 IP 地址,则 ping 是间歇性的。他们上上下下。
如果我在每台交换机上显示 MAC 地址表,我会看到交换机 2 始终将 VMKernel 的 MAC 地址分配给连接到 ESXi 主机的交换机端口。但是,交换机 1 在其各自的物理端口上不断添加和删除 VMKernel 的 MAC 地址。每当交换机 1 将 VMKernel 的 MAC 分配给其物理端口时,ping 都会失败。
失败的原因是显而易见的。Switch 1 例行获取 ESXi VMKernel 端口的 MAC 地址的原因是问题所在。ESXi 主机已选择连接到交换机 2 的接口作为活动端口。连接到 Switch 1 的接口应该处于非活动状态。但是,看起来它可能正在响应 ARP 请求?
值得注意的是,这台主机上的所有虚拟机都没有这个问题。它们都是可访问的,并且一次只出现在一个 MAC 表中。此问题特别影响 VMKernel 端口。
这个配置有问题怎么办?我正在寻找某种类型的文档或解释来解决这个问题。我知道将 VMKernel 端口设置为活动/待机模式可能会解决问题。但是,我找不到任何记录为什么这个当前配置是一个问题。
更新:
一定是某些原因导致 VMKernel MAC 地址在交换机 1 的端口上出现,但它每隔几秒钟就会出现一次。
STP 和端口的交换机配置:交换机 1
!
spanning-tree mode rapid-pvst
spanning-tree portfast edge default
spanning-tree extend system-id
!
interface Port-channel1
switchport access vlan 11
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet1/0/7
switchport access vlan 11
switchport mode access
!
interface GigabitEthernet1/0/23
switchport access vlan 11
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable
!
interface GigabitEthernet1/0/24
switchport access vlan 11
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable
开关 2
!
spanning-tree mode rapid-pvst
spanning-tree portfast edge default
spanning-tree extend system-id
!
interface Port-channel1
switchport access vlan 11
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet1/0/3
switchport access vlan 11
switchport mode access
!
interface GigabitEthernet1/0/23
switchport access vlan 11
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable
!
interface GigabitEthernet1/0/24
switchport access vlan 11
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable
我们正在使用 Windows 2016+ DNS 服务器。我们依赖 DNS 服务器上的 LocalNetPriority。我们有多个跨多个站点的 Active Directory DNS 服务器。预期的行为是,当对 DNS 服务器进行特定查询时,如果同一主机存在多个 A 记录,它将返回与发起查询在同一子网中的 IP 地址。这在大多数情况下都可以正常工作。
但是,对于来自 DNS 服务器本身的请求,它不起作用。首先,默认情况下,DNS 服务器(或 Active Directory)将其网络接口配置为通过 localhost(127.0.0.1 和 ::1)将自己用作选择的 DNS 服务器。这会导致 LocalNetPriority 选择失败,因为原始 IP 地址不在我们的子网之一中。
其次,服务器更喜欢 IPv6 而不是 IPv4。我们不使用 IPv6,但也不想禁用它,因为它显然在过去在不同的场景中造成了问题,微软声称它是强制性的,不支持或不建议禁用它。使用 IPv6 是不可能的。
最后,这必须在网络中断时起作用。当卫星位置与网络的其余部分断开时,此特定要求要求 localnetpriority 正常工作。因此,使用对等 DNS 解析器作为主服务器并不能单独满足此要求。
似乎将 IPv4 设置为优先于 IPv6,并将服务器的实际 IP 地址配置为选择的 DNS 服务器,可能是唯一的解决方案。但是,我很久以前就知道使用 127.0.0.1 是最好的选择,因为在重新启动或拔下网线时,活动目录可能会完全崩溃。
我错过了什么?有没有更直接的方法来解决这个问题?也许我应该为我们遇到问题的特定主机添加一个 HOSTS 文件条目。
我在此处遵循 NXLog 的说明:https ://nxlog.co/documentation/nxlog-user-guide/linux-logs.html#linux_logs_forwarding_socket_example在 80.2 下关于将 syslog 消息转发到 NXLog。
它特别指出要重新启动 NXLog,然后重新启动 rsyslog,以便 NXlog 可以在 rsyslog 尝试写入之前创建套接字。
我的问题是,在重新启动期间,在不同版本的 Linux 中,哪个服务将首先启动是不明确的,我的猜测是 syslog 可能首先启动。如果 rsyslog 在 nxlog 之前启动会发生什么?rsyslog 会在 nxlog 启动并创建后恢复并开始写入套接字吗?
编辑:我认为它来自HKEY_USERS\.DEFAULT\Printers\ConvertUserDevModesCount
. 我看到这里列出的所有原始和新打印机连接以及大量重复\\CSR|<ServerName>\{<long GUID>}
条目。我以一种全面的方式发现了这篇文章,这让我开始关注这个领域。
我有一组通过 GPO 部署到计算机的打印机。今天,我尝试更改该打印机映射。新的打印机映射显示在工作站上,但旧的仍然显示。
但是,在登录之前,计算机上不存在用户配置文件。C:\Users 中没有任何内容,高级系统设置中没有任何内容。是的,我有很多电脑要测试。即使我删除了部署打印机的 GPO,原始打印机仍会继续显示在“设备和打印机”窗口中。
如果我从 AD 中删除用户,并重新添加具有相同用户名和密码的新用户,则原始/旧打印机不再显示。
此外,如果我使用 powershellget-printer
或wmic printer list brief
这些原始/旧打印机不会出现。它们也不会出现在注册表中,HKCU\Printers\Connections
但所有正确/新的打印机映射都会出现。然而,这些旧连接继续显示在“设备和打印机”窗口中。而且,它们继续正常工作。
这些是混合 Azure AD 加入的 PC。但是,我们没有 AD 高级版,也没有配置企业状态漫游。我们没有使用漫游配置文件。我们不会将文件夹重定向到任何网络共享。似乎没有其他设置漫游或出现。保存的文件不见了。这似乎会影响同一台机器上的所有或多个用户,包括配置文件是“临时”并在每次注销时删除的“访客”用户。
这些打印机如何继续出现在用户没有配置文件且没有部署 GPO 或脚本的计算机上。为什么它们只显示在“设备和打印机”中,而不显示在 wmic、powershell 或注册表中?用户过去曾在我们组织内登录过这台计算机和其他计算机。
使用用户范围的组策略首选项,我们正在为服务器上的新用户创建一个主文件夹。此主文件夹从根主共享继承“CREATOR OWNER”权限。现在,我们要在 Home 文件夹下创建第二个文件夹,称为 Scans。但是,我们想要更改该文件夹的权限,以便用户可以完全控制子文件夹和文件——我们不想仅仅继承“CREATOR OWNER”权限。问题是扫描仪将文件放入该文件夹并成为文件的所有者,导致用户无法访问它。
我很好奇关于如何做到这一点有什么想法?
我想我知道我有什么选择,但没有一个是最佳的。首先,我不知道可以设置文件/文件夹权限的用户的组策略首选项 - 它们都是计算机范围的,在这种情况下不起作用。此外,登录脚本执行顺序排在组策略首选项文件夹项目之前,这需要至少 2 个 GPO 才能解决,我讨厌这个时代的登录脚本。
因此,目标是不使用登录脚本,使用单个 GPO 项目,并在第一次登录期间对其进行完全配置(无需登录两次,或等待 gp 刷新等)
目前我能想到的唯一解决方案是使用带有登录脚本的单个 GPO 在用户级别设置权限。所以,最终,看起来最好的方法是创建一个登录脚本,创建主文件夹,创建扫描文件夹,然后设置权限。但是,这太难看了,而且也很痛苦,因为我们的 GPO 出于几个不同的原因使用项目级定位,并且登录脚本不支持项目级定位。
我知道这可能不是问这个问题的最佳地点。但是,经过几天的努力,并在 Microsoft 论坛上发帖后,我束手无策。
我们正在使用混合 ADFS 4.0 (Server 2016) / Azure AD / Office 365 设置,设备注册和 SSO 工作。
我们正在尝试使用基于设备的访问策略启用多因素身份验证。我们不希望“已识别”的设备看到额外的 MFA 提示。我们正在使用Microsoft Claims Xray评估 ADFS 返回的索赔。
我们已成功启用 MFA 并将 ADFS 配置为仅在设备无法识别时提示 MFA。这是因为被识别的设备在活动目录中具有额外的属性(isRegisteredUser;isManaged;isKnown;trustType;等),我们可以对这些属性采取行动。我们已经在 iPad 上使用 IE、Firefox、Chrome 和 Safari 进行了测试。但是,“DeviceContext”声明仅在从 iPad 上的 IE 或 Safari 完成身份验证时才会出现。
出于某种原因,当从 Chrome 或 Firefox 发出请求时,似乎没有进行设备身份验证。身份验证有效,我们只是看不到任何允许我们根据设备是否已注册做出决定的 devicecontext 声明。因此,这些浏览器会获得额外的 MFA 提示。
我根本无法在网上找到任何符合我确切问题的帖子。有一些线程是相似的,但结果却是不同的问题,或者最终陷入了死胡同。我希望有人有这种类似的设置,并且知道为什么 Chrome 和 Firefox 不会执行额外的基于设备的身份验证,但 iPad 上的 safari 会。所有设备都有有效的证书来执行身份验证。
我在任何事件日志中都没有出现任何错误。浏览器根本不会发出设备身份验证请求,也不会发出 devicecontext 声明。这可能不受支持,但我找不到任何指示一种或另一种方式的信息。
几个月前,我尝试使用 AZCopy 工具和 Azure 存储资源管理器导入 Outlook PST 文件。我在 Office 365 管理中心内创建了一个已过期的 SAS URL。
我现在已经回到对组织范围的 PST 文件进行生产导入,并再次完成了该过程。我创建了一个新的 SAS URL,在使用 AZCopy 上传一些测试数据后,我尝试将存储端点添加到 Azure 存储资源管理器。
不幸的是,当我尝试添加新的 SAS URI 时,我不断收到此错误消息:带有标签“ingestiondata”的服务连接已经存在。
在 Office 365 管理中心创建的所有导入 SAS URI 都使用“ingestiondata”作为资源标签。因此,我的新 SAS URI 与旧的标签相同。我强烈怀疑存储资源管理器正在记住旧的。然而,就像微软在最近的历史上发布的许多半生不熟的产品一样,Azure 存储资源管理器中没有一个选项可以移除旧的 SAS 端点。
卸载并重新安装 Azure 存储资源管理器不能解决问题。