Appleoddity's questions

# Build a list of Adtran AP mac addresses found on directly connected switch ports
- name: PARSE AND FILTER MAC ADDRESS-TABLE
  ansible.builtin.set_fact:
    macs: "{{ macs + [item] }}"
  loop: "{{ macs_raw.stdout[0] | ansible.netcommon.parse_cli_textfsm('templates/cisco_ios_show_mac-address-table.textfsm') }}"
  when:
    - item.DESTINATION_PORT[0] not in neighbors.keys()   # Ignore macs found on neighboring switches
    - item.DESTINATION_ADDRESS is search('^0019\.92.*$')   # Ignore macs that aren't Adtran APs

我收到以下弃用警告：

[DEPRECATION WARNING]: Use 'ansible.utils.hwaddr' module instead. This feature will be removed from ansible.netcommon in a release after 2024-01-01. Deprecation warnings can be disabled by
 setting deprecation_warnings=False in ansible.cfg.

ansible --version

ansible [core 2.16.6]
  config file = /workspaces/git/my-repo/ansible/ansible.cfg
  configured module search path = ['/home/vscode/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
  ansible python module location = /usr/local/python/3.11.6/lib/python3.11/site-packages/ansible
  ansible collection location = /home/vscode/.ansible/collections:/usr/share/ansible/collections
  executable location = /usr/local/python/current/bin/ansible
  python version = 3.11.6 (main, Dec 19 2023, 21:21:06) [GCC 11.4.0] (/usr/local/python/3.11.6/bin/python)
  jinja version = 3.1.4
  libyaml = True

为什么？

要让计算机在不重新启动计算机的情况下更新其组成员身份，您可以使用命令清除 kerberos 票证klist -li 0x3e7 purge。随后的gpupdate或gpresult将反映新的组成员资格。

但是，这似乎不适用于域控制器。为什么？

票证已成功清除，但后续gpresult /r未反映更改。

我有以下简化的配置：

本质上，我有一个带有两个物理网络适配器的 ESXi 主机。每个适配器插入不同的开关。每个交换机都通过一个中继端口连接。一台 PC 连接到其中一个交换机。具有 VMKernel 端口和 VM 端口的 vSwitch 配置为在 Active/Active 配置中使用两个物理 NIC：

我已经运行esxtop，可以看到 ESXi 主机选择了连接到交换机 2 的物理网卡作为 VMKernel 端口。从 PC 上，如果我 ping ESXi 主机的管理 IP 地址，则 ping 是间歇性的。他们上上下下。

如果我在每台交换机上显示 MAC 地址表，我会看到交换机 2 始终将 VMKernel 的 MAC 地址分配给连接到 ESXi 主机的交换机端口。但是，交换机 1 在其各自的物理端口上不断添加和删除 VMKernel 的 MAC 地址。每当交换机 1 将 VMKernel 的 MAC 分配给其物理端口时，ping 都会失败。

失败的原因是显而易见的。Switch 1 例行获取 ESXi VMKernel 端口的 MAC 地址的原因是问题所在。ESXi 主机已选择连接到交换机 2 的接口作为活动端口。连接到 Switch 1 的接口应该处于非活动状态。但是，看起来它可能正在响应 ARP 请求？

值得注意的是，这台主机上的所有虚拟机都没有这个问题。它们都是可访问的，并且一次只出现在一个 MAC 表中。此问题特别影响 VMKernel 端口。

这个配置有问题怎么办？我正在寻找某种类型的文档或解释来解决这个问题。我知道将 VMKernel 端口设置为活动/待机模式可能会解决问题。但是，我找不到任何记录为什么这个当前配置是一个问题。

更新：

• 我在 vSwitch 上禁用了 CDP，认为它可能会导致通过非活动 NIC 进行通信。
• 我覆盖了 VMKernel 端口的 vSwitch 设置，并将其设置为使用显式故障转移和 Active/Standby。我还将备用网卡放在未使用的池中。没有任何帮助。解决这个问题的是改变端口顺序。因此，当连接到交换机 1 的端口变为活动状态时，我看不到问题。MAC 地址在 Switch 2 上根本没有激活。这是两张截然不同的网卡，我想知道这是否不是某种驱动程序问题。

一定是某些原因导致 VMKernel MAC 地址在交换机 1 的端口上出现，但它每隔几秒钟就会出现一次。

STP 和端口的交换机配置：交换机 1

!
spanning-tree mode rapid-pvst
spanning-tree portfast edge default
spanning-tree extend system-id
!
interface Port-channel1
 switchport access vlan 11
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/7
 switchport access vlan 11
 switchport mode access
!
interface GigabitEthernet1/0/23
 switchport access vlan 11
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode desirable
!
interface GigabitEthernet1/0/24
 switchport access vlan 11
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode desirable

开关 2

!
spanning-tree mode rapid-pvst
spanning-tree portfast edge default
spanning-tree extend system-id
!
interface Port-channel1
 switchport access vlan 11
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface GigabitEthernet1/0/3
 switchport access vlan 11
 switchport mode access
!
interface GigabitEthernet1/0/23
 switchport access vlan 11
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode desirable
!
interface GigabitEthernet1/0/24
 switchport access vlan 11
 switchport trunk encapsulation dot1q
 switchport mode trunk
 channel-group 1 mode desirable

我们正在使用 Windows 2016+ DNS 服务器。我们依赖 DNS 服务器上的 LocalNetPriority。我们有多个跨多个站点的 Active Directory DNS 服务器。预期的行为是，当对 DNS 服务器进行特定查询时，如果同一主机存在多个 A 记录，它将返回与发起查询在同一子网中的 IP 地址。这在大多数情况下都可以正常工作。

但是，对于来自 DNS 服务器本身的请求，它不起作用。首先，默认情况下，DNS 服务器（或 Active Directory）将其网络接口配置为通过 localhost（127.0.0.1 和 ::1）将自己用作选择的 DNS 服务器。这会导致 LocalNetPriority 选择失败，因为原始 IP 地址不在我们的子网之一中。

其次，服务器更喜欢 IPv6 而不是 IPv4。我们不使用 IPv6，但也不想禁用它，因为它显然在过去在不同的场景中造成了问题，微软声称它是强制性的，不支持或不建议禁用它。使用 IPv6 是不可能的。

最后，这必须在网络中断时起作用。当卫星位置与网络的其余部分断开时，此特定要求要求 localnetpriority 正常工作。因此，使用对等 DNS 解析器作为主服务器并不能单独满足此要求。

似乎将 IPv4 设置为优先于 IPv6，并将服务器的实际 IP 地址配置为选择的 DNS 服务器，可能是唯一的解决方案。但是，我很久以前就知道使用 127.0.0.1 是最好的选择，因为在重新启动或拔下网线时，活动目录可能会完全崩溃。

我错过了什么？有没有更直接的方法来解决这个问题？也许我应该为我们遇到问题的特定主机添加一个 HOSTS 文件条目。

我在此处遵循 NXLog 的说明：https ://nxlog.co/documentation/nxlog-user-guide/linux-logs.html#linux_logs_forwarding_socket_example在 80.2 下关于将 syslog 消息转发到 NXLog。

它特别指出要重新启动 NXLog，然后重新启动 rsyslog，以便 NXlog 可以在 rsyslog 尝试写入之前创建套接字。

我的问题是，在重新启动期间，在不同版本的 Linux 中，哪个服务将首先启动是不明确的，我的猜测是 syslog 可能首先启动。如果 rsyslog 在 nxlog 之前启动会发生什么？rsyslog 会在 nxlog 启动并创建后恢复并开始写入套接字吗？

编辑：我认为它来自HKEY_USERS\.DEFAULT\Printers\ConvertUserDevModesCount. 我看到这里列出的所有原始和新打印机连接以及大量重复\\CSR|<ServerName>\{<long GUID>}条目。我以一种全面的方式发现了这篇文章，这让我开始关注这个领域。

我有一组通过 GPO 部署到计算机的打印机。今天，我尝试更改该打印机映射。新的打印机映射显示在工作站上，但旧的仍然显示。

但是，在登录之前，计算机上不存在用户配置文件。C:\Users 中没有任何内容，高级系统设置中没有任何内容。是的，我有很多电脑要测试。即使我删除了部署打印机的 GPO，原始打印机仍会继续显示在“设备和打印机”窗口中。

如果我从 AD 中删除用户，并重新添加具有相同用户名和密码的新用户，则原始/旧打印机不再显示。

此外，如果我使用 powershellget-printer或wmic printer list brief这些原始/旧打印机不会出现。它们也不会出现在注册表中，HKCU\Printers\Connections但所有正确/新的打印机映射都会出现。然而，这些旧连接继续显示在“设备和打印机”窗口中。而且，它们继续正常工作。

这些是混合 Azure AD 加入的 PC。但是，我们没有 AD 高级版，也没有配置企业状态漫游。我们没有使用漫游配置文件。我们不会将文件夹重定向到任何网络共享。似乎没有其他设置漫游或出现。保存的文件不见了。这似乎会影响同一台机器上的所有或多个用户，包括配置文件是“临时”并在每次注销时删除的“访客”用户。

这些打印机如何继续出现在用户没有配置文件且没有部署 GPO 或脚本的计算机上。为什么它们只显示在“设备和打印机”中，而不显示在 wmic、powershell 或注册表中？用户过去曾在我们组织内登录过这台计算机和其他计算机。

使用用户范围的组策略首选项，我们正在为服务器上的新用户创建一个主文件夹。此主文件夹从根主共享继承“CREATOR OWNER”权限。现在，我们要在 Home 文件夹下创建第二个文件夹，称为 Scans。但是，我们想要更改该文件夹的权限，以便用户可以完全控制子文件夹和文件——我们不想仅仅继承“CREATOR OWNER”权限。问题是扫描仪将文件放入该文件夹并成为文件的所有者，导致用户无法访问它。

我很好奇关于如何做到这一点有什么想法？

我想我知道我有什么选择，但没有一个是最佳的。首先，我不知道可以设置文件/文件夹权限的用户的组策略首选项 - 它们都是计算机范围的，在这种情况下不起作用。此外，登录脚本执行顺序排在组策略首选项文件夹项目之前，这需要至少 2 个 GPO 才能解决，我讨厌这个时代的登录脚本。

因此，目标是不使用登录脚本，使用单个 GPO 项目，并在第一次登录期间对其进行完全配置（无需登录两次，或等待 gp 刷新等）

目前我能想到的唯一解决方案是使用带有登录脚本的单个 GPO 在用户级别设置权限。所以，最终，看起来最好的方法是创建一个登录脚本，创建主文件夹，创建扫描文件夹，然后设置权限。但是，这太难看了，而且也很痛苦，因为我们的 GPO 出于几个不同的原因使用项目级定位，并且登录脚本不支持项目级定位。

我知道这可能不是问这个问题的最佳地点。但是，经过几天的努力，并在 Microsoft 论坛上发帖后，我束手无策。

我们正在使用混合 ADFS 4.0 (Server 2016) / Azure AD / Office 365 设置，设备注册和 SSO 工作。

我们正在尝试使用基于设备的访问策略启用多因素身份验证。我们不希望“已识别”的设备看到额外的 MFA 提示。我们正在使用Microsoft Claims Xray评估 ADFS 返回的索赔。

我们已成功启用 MFA 并将 ADFS 配置为仅在设备无法识别时提示 MFA。这是因为被识别的设备在活动目录中具有额外的属性（isRegisteredUser；isManaged；isKnown；trustType；等），我们可以对这些属性采取行动。我们已经在 iPad 上使用 IE、Firefox、Chrome 和 Safari 进行了测试。但是，“DeviceContext”声明仅在从 iPad 上的 IE 或 Safari 完成身份验证时才会出现。

出于某种原因，当从 Chrome 或 Firefox 发出请求时，似乎没有进行设备身份验证。身份验证有效，我们只是看不到任何允许我们根据设备是否已注册做出决定的 devicecontext 声明。因此，这些浏览器会获得额外的 MFA 提示。

我根本无法在网上找到任何符合我确切问题的帖子。有一些线程是相似的，但结果却是不同的问题，或者最终陷入了死胡同。我希望有人有这种类似的设置，并且知道为什么 Chrome 和 Firefox 不会执行额外的基于设备的身份验证，但 iPad 上的 safari 会。所有设备都有有效的证书来执行身份验证。

我在任何事件日志中都没有出现任何错误。浏览器根本不会发出设备身份验证请求，也不会发出 devicecontext 声明。这可能不受支持，但我找不到任何指示一种或另一种方式的信息。

几个月前，我尝试使用 AZCopy 工具和 Azure 存储资源管理器导入 Outlook PST 文件。我在 Office 365 管理中心内创建了一个已过期的 SAS URL。

此处显示的说明：https: //support.office.com/en-us/article/Use-network-upload-to-import-your-organization-s-PST-files-to-Office-365-103f940c-0468- 4e1a-b527-cc8ad13a5ea6#step4

我现在已经回到对组织范围的 PST 文件进行生产导入，并再次完成了该过程。我创建了一个新的 SAS URL，在使用 AZCopy 上传一些测试数据后，我尝试将存储端点添加到 Azure 存储资源管理器。

不幸的是，当我尝试添加新的 SAS URI 时，我不断收到此错误消息：带有标签“ingestiondata”的服务连接已经存在。

在 Office 365 管理中心创建的所有导入 SAS URI 都使用“ingestiondata”作为资源标签。因此，我的新 SAS URI 与旧的标签相同。我强烈怀疑存储资源管理器正在记住旧的。然而，就像微软在最近的历史上发布的许多半生不熟的产品一样，Azure 存储资源管理器中没有一个选项可以移除旧的 SAS 端点。

卸载并重新安装 Azure 存储资源管理器不能解决问题。