背景

我最近继承了一组 Windows Server 2019 服务器。设置并不理想。它们都是工作组的一部分myworkgroup，但不涉及域。每个都有自己的本地管理员帐户。theadmin所有本地theadmin帐户都有相同的密码。一台服务器启用了共享文件夹。

总体布局如下：

• 服务器A
  • 文件共享：（C:\Shared名称：“共享”）
  • 本地管理员：（ServerA\theadmin相同密码，例如redactedpw1234）
• 服务器B
  • 本地管理员：（ServerB\theadmin相同密码，例如redactedpw1234）
• 服务器C
  • 本地管理员：（ServerC\theadmin相同密码，例如redactedpw1234）
• 服务器QA
  • 本地管理员：（ServerQA\theadmin相同密码，例如redactedpw1234）

挑战

在某个时候——很难准确指出具体时间——ServerQAtheadmin帐户现在可以读取\\ServerA\Shared，但无法修改或删除文件（看到以此帐户身份运行的计划任务存在问题，然后在以该帐户身份登录时通过 Windows 资源管理器进行验证）。

ServerB 和 ServerC 的theadmin账户似乎没有这个问题。当在这两台机器上登录本地账户时，我可以按预期theadmin查看和修改/创建/删除文件。\\ServerA\Shared

我的挑战可以总结如下：

• ✅ ServerB、ServerC和ServerQA似乎具有相同的配置
• ✅ServerB可以在 Windows 资源管理器中访问\\ServerA\Share并创建/修改文件
• ✅ServerC可以在 Windows 资源管理器中访问\\ServerA\Share并创建/修改文件
• ❌ServerQA可以在 Windows 资源管理器中读取，\\ServerA\Share但在尝试创建或修改文件时收到权限错误。

我尝试过的事情

• 重启ServerQA服务器
• Get-SmbConnection在所有服务器上。
  • ServerB、ServerC 和 ServerQA 上的设置模式似乎相同 - 用户列表[TheMachine]\theadmin与每个情况相同，并且凭证相同。因此，它们都使用本地theadmin凭证。
  • 该方言适用3.1.1于所有机器。
• Get-SmbMultichannelConnection似乎所有这一切都表现出了同样的情况。
  • Interface index [The Ethernet1 index for the server], RSS: True, RDMA: False
• 尝试删除并重新建立共享
  • 在 ServerQA 上，net use /delete \\ServerA\Shared
  • 在 ServerA 上，Get-SmbSession然后Close-SmbSession关闭该计算机的所有会话
  • 在 ServerQA 上net use \\ServerA\Shared /user:ServerQA\theadmin redactedpw1234重新建立
  • 在 ServerQA 上，net use确认Get-SmbConnection一切设置均符合预期
• 在所有服务器上运行whoami /all并验证本地帐户都属于同一本地组。
• 检查了各个服务器上的 SMBClient 和 SMBServer 事件日志。没有什么特别的。
• 检查注册表。所有服务器的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
  • 虽然我可能错过了我应该寻找的其他地方？
• Get-SmbClientConfiguration在所有服务器上返回相同的结果
• 安装了NTFSSecurity powershell 模块并Get-NTFSEffectiveAccess -Path \\ServerA\Shared从所有服务器运行。全部返回结果。
• 在 上ServerA，运行icacls "C:\Shared"。这返回 ServerA\theadmin 具有访问权限，但没有其他计算机的特定管理员帐户。所以我认为这不太相关。
• 在ServerA，运行Get-SmbShareAccess -Name "Shared"。ServerA\theadmin用户出现在结果中，但没有theadmin具体提及其他机器的用户。
• 运行并比较结果。权限下存在差异，但据我所知，它们似乎反映了本地 SID。但我对此不太熟悉secedit /export /cfg c:\Windows\temp\secpol.cfg。ServerBServerQA
• 在每台服务器上运行gpresult /h并比较 HTML 文件。据我所知，没有区别。
• 根据下面一个很好的答案，我检查了ServerQA服务器的注册表，看是否已正确HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy设置。不幸的是，它已经正确设置了。1

问题

考虑到以上所有情况，我如何确定在这种情况下访问与访问ServerQA之间的差异？我是否应该考虑使用其他工具？我是否缺少一个常见的故障排除点来确定服务器之间的差异？我不知所措。ServerBServerC

更新--越来越近了？

ServerA重新启动（托管文件共享的客户端）和（有问题的客户端）后ServerQA，症状似乎消失了大约 10 分钟。我能够修改文件，并看到计划任务按预期运行并修改文件。然后症状又回来了，我没有采取任何行动，并且一直如此。

背景/目标

运动部件：

• 我有一个服务帐户，我们称之为MyDomain\svcMyService。
• 我有一个远程服务器，我们称之为MyDomain\MyServer。
• 我有一个 Jenkins 服务器，我们称之为MyDomain\MyJenkins.

在 Jenkins 中，我有一个部署任务。它抓取一些工件，然后调用msdeploy以将它们推送到 MyServer。

此部署步骤失败，我想弄清楚原因。

我正在使用的 MSDeploy 命令

该命令由 Jenkins 自动生成，最终结果如下（省略敏感数据）：

 "C:\Program Files\IIS\Microsoft Web Deploy V3\msdeploy.exe" -verb:sync -source:iisApp="E:\Jenkins\jobs\NotARealJobName\workspace" -dest:iisApp="MyWebSite/MyWebApp",ComputerName="https://MyServer:8172/MsDeploy.axd",UserName=MyDomain\svcMyService,Password="NotARealPassword" -allowUntrusted 

错误

我从 msdeploy 输出看到的错误消息是：

错误代码：ERROR_USER_UNAUTHORIZED 更多信息：使用 Web 管理服务连接到远程计算机（“MyServer”），但无法授权。确保您使用正确的用户名和密码，您要连接的站点存在，并且凭据代表有权访问该站点的用户。了解更多信息：http: //go.microsoft.com/fwlink/ ?LinkId=221672#ERROR_USER_UNAUTHORIZED 。

错误：远程服务器返回错误：（401）未经授权。

我对我必须做什么的理解

这可能是一个不完整或不正确的列表。请告诉我这是否是问题所在。

我想我必须：

• 在 IIS 上安装 WebDeploy（在这种情况下是最新的 3.6）。
• 在 IIS 中启用管理服务。
• 创建一个以MyDomain\svcMyService.
• 是的，部署的同一个用户名也在运行它。不是最好的，我知道。此刻不在我的手中。
• 为我的 IIS Web 应用程序创建目录。
• 授予对此目录的权限。
  • 完全权限svcMyService
  • 完全权限WDeployAdmin
  • 完全权限NetworkService（因为这就是 WMSvc 的运行方式）
• 使用适当的端口创建网站
  • 网站应该在服务账户的应用程序池下运行
  • 该网站应使用该svcMyService帐户连接到该文件夹​​。
• 在网站下创建一个 Web 应用程序。
  • 该网站应使用该svcMyService帐户连接到该文件夹​​。
  • 将svcMyService帐户添加为站点和应用程序级别的部署管理器。
• 确保本地WDeployConfigWriter和WDeployAdmin帐户未过期，并且其密码无法更改。
• 如果您更改了这些本地帐户的密码，请确保 IIS 管理委派正在使用帐户并为每个委派更新这些凭据WDeployConfigWriter。WDeployAdmin

到目前为止的故障排除

我会在尝试排除故障时更新此列表。

检查 WMSvc IIS 日志 - 看起来我的用户没有发布权限

• 日志示例如下：

#Fields: date time s-ip cs-method cs-uri-stem c-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time -采取 2015-09-14 17:10:06 [服务器 IP] HEAD /MsDeploy.axd - 8172 - [Jenkins IP] - - 401 2 5 15

我看到所有状态都是 401.2，win32 代码为 5。

根据此故障排除链接，“如果用户已通过身份验证，但没有发布所需的权限，则日志条目将如下所示”（401 2 5）。

引用的文章

• http://www.iis.net/learn/publish/troubleshooting-web-deploy/troubleshooting-common-problems-with-web-deploy
• http://www.iis.net/learn/publish/using-web-deploy/configure-the-web-deployment-handler

背景

我有以下组件：

• Windows Server 2008 R2 盒子
• 管理员帐户（我的）
• 域上的服务帐户是该框的管理员
• 安装 Putty（包括用于命令行的 plink 和用于生成 ssh 公钥的 Pageant）
• SSH 会话期间要使用的命令的文本文件
• 一个运行 plink 的 powershell 脚本，它使用 Start-Process 调用 plink，命令行告诉它使用 Ageant 进行 PuTTy 连接，并使用 commands.txt 进行命令。
• 以我的用户帐户运行的计划任务

目标

最终，为了让计划任务作为服务帐户运行，它调用 powershell 作为服务帐户，运行进程并执行 ssh 命令。

问题

• 当我以我的用户帐户身份从 powershell 命令提示符运行此脚本时，它会运行。
• 当我以最高权限从计划任务中以我的用户帐户运行此脚本并告诉它保存我的凭据时，它“不运行”。
• “不运行”意味着它似乎生成了一个 plink.exe 实例，这是我认为出现问题的地方（我在控制台上看不到的挂起的东西）。

问题

• 有人有更优雅但使用相同或相似工具的整体解决方案吗？
• 我的 powershell 脚本是否应该调用 cmd.exe 以便我至少可以将标准输出捕获到我的日志文件中？

剧本

如果它有帮助：

#Starts the vcenter2 server.
#if the server is already started, it will tell you so.

#Stop an error from occurring when a transcript is already stopped
$ErrorActionPreference="SilentlyContinue"
Stop-Transcript | out-null

#Reset the error level before starting the transcript
$ErrorActionPreference="Continue"
Start-Transcript -path C:\Scripts\logs\StartTheVCenter2Server.log -append

#Run plink and reference the commands file to start up the server
Start-Process "C:\Program Files (x86)\PuTTY\plink.exe" -Argumentlist "-agent -m C:\Scripts\idrac_powerup_commands.txt root@[servernameredacted]" -wait -RedirectStandardOutput "C:\Scripts\logs\plinklog.log"

#Clean-up
Stop-Transcript

想法？我可能会尝试使用 Invoke-Command 看看我是否可以至少将输出重定向到我的日志中。

谢谢！

我有一台配置了 iDRAC 6 且可访问的 Dell PowerEdge R410。

我知道这个周末我们会在某个时候断电，有时我想再次打开机器电源。

从 iDRAC GUI 中，我可以安排启动时间，还是我必须使用来自另一台机器的 ssh 脚本 + racadm 命令的组合来完成启动时间？

我一直在四处寻找，但我似乎无法在 iDRAC GUI 中找到它的任何内容，这让我觉得它可能在那里是不可能的。

另一种可能性：iDRAC MAC 是否能很好地响应 WOL 请求？如果是这样，我也许可以让 powershell 脚本运行 Start-Computer 命令以将 WOL 魔法数据包发送到 iDRAC？不确定这是否可行/最佳方法。

说明

• 简而言之，我的目标是在指定的日期/时间启动此服务器。
• 我可以使用的工具是：
  • 也许故障转移建筑物中的 linux box 可以通过 SSH 进入（不确定我是否可以访问它）
  • 我的 Win7 桌面（可能没有启动）
  • 我熟悉 PowerShell 脚本
  • 我对 ssh 基本不熟悉（我对它的了解足以完成基本任务，但从未需要将其自动化）
  • 机器上的 iDRAC 控制器，大概会在电源恢复后立即启动。
  • 通过 R410 BIOS 可用的任何东西（不确定是否有类似的东西）
• 我知道 DRAC 没有电源管理——我正在寻找一种可能使用它来启动机器的方法（在 iDRAC 中有一个预定的启动选项似乎自然是一个很好的选择，但我想不是)

背景/目标

我正在尝试创建一个计划任务，它将：

• 在指定时间运行（一次）
• 运行一个 PowerShell 脚本：
  • 将其所有输出记录为成绩单
  • 使用加密的存储凭据连接到我的 vCenter 服务器
  • 关闭特定文件夹中所有虚拟机的来宾操作系统

问题

该脚本从控制台完美执行，但甚至没有开始作为任务执行。

编码

#Stop an error from occurring when a transcript is already stopped
$ErrorActionPreference="SilentlyContinue"
Stop-Transcript | out-null

#Reset the error level before starting the transcript
$ErrorActionPreference="Continue"
Start-Transcript -path C:\temp\Shutdown_NonProductionVMs.log -append

#Add the VMWare Snap-in
Add-PSSnapin -Name VMWare.VimAutomation.Core

#Get the Credentials
$creds = Get-VICredentialStoreItem -file  C:\temp\pscreds.creds

#Connect to the server using the credentials file
Connect-VIServer -Server $creds.host -User $creds.User -Password $creds.Password

#Get all VMs within the non-production VMs folder and then shut them down
#NOTE the -WhatIf tag, which will stop it from shutting down the VMs until we're sure the script is good.

Get-Folder -Name "03. Non-Production VMs" | Get-VM | Shutdown-VMGuest -WhatIf

#Clean Up
Disconnect-VIServer -Force -Confirm:$false
Remove-PSSnapin -Name VMWare.VimAutomation.Core
Stop-Transcript

到目前为止我检查/尝试过的内容和其他线索

• 同样，当以管理员身份打开控制台时，此脚本在控制台中运行得非常好。
• 我已经设置了“无限制”的机器级执行策略，看看是否有帮助。
• 我正在以创建凭据文件的同一用户身份运行任务
• 我正在以最高权限运行任务。
• 我正在使用存储的凭据（我的用户凭据——与控制台中的凭据相同）运行任务。
• 我试着注释掉与成绩单相关的代码，看看是否能做到；没有骰子。
• 该任务只是继续永久运行。我没有得到任何结果，也没有终止。

有任何想法吗？在此先感谢您提供的任何帮助！

背景/目标

• 我有一个 VMWare HA 集群，用于具有两台主机的生产机器。
• 它当前的设置使其最多可以解释一台主机的故障。它不使用 DRS。
• 我需要修复这两个服务器以应用补丁。我想在零停机时间的情况下做到这一点。

问题

• 我可以将集群中的虚拟机专门 vMotion 到集群中的另一台主机，然后关闭服务器吗？
• 在 HA 配置中修复服务器以避免停机的最佳/推荐方法是什么？

背景/问题

刚刚遇到一个问题，ESXi 主机从 5.0 --> 5.1 升级完全没问题。

然后，我进行了扫描并修复了补丁 ( ESXi510-201210401-BG ) 通过 kvm 开关查看主机，这似乎已成功完成。

但是，在重新启动时，服务器会在“初始化电源管理”阶段挂起。

我从互联网上的各个地方了解到，这通常会在冷启动时再次自行清除，但鉴于我们的服务器位于具有不同访问规则的不同建筑物中，我去那里的次数越少越好。:)

问题

• 在修复主机以应用补丁后，我可以做些什么来避免 ESXi 主机在引导的“初始化电源管理”阶段挂起？

我刚刚设置了一个 vSphere / vCenter 5.1 安装。

我在此安装中添加了两个旧主机 (v5.0)。

我刚刚注意到，虽然所有 VM 都已添加到清单中，但没有一个模板。

是否有一个原因？我似乎无法在 Google 或 VMWare 论坛上找到任何内容。

背景/设置

我全新安装了 vCenter Server 5.1 和相关组件。

我已经采取了所有步骤（据我所知）来启用 FT，并且它第一次工作（拉下电源线并观察 VM 继续工作 - 顺便说一下，这是一种很棒的感觉）。

我采取的步骤是：

• 使用两台服务器创建 HA 集群
• 添加一个额外的虚拟 VMkernel NIC 来处理每台主机上的 FT 流量
• 确保所有主机都可以访问多个网络存储设备（EMC 和 netapp）。
• 在 VM 上，将 CPU/MMU 虚拟化选项更改为“使用 Intel VT-x/AMD-V 进行指令集虚拟化和 MMU 虚拟化软件”
• 右键单击虚拟机并选择“打开容错”。这成功完成了。

同样，这有效。

问题

然而，现在在 VM 菜单中，在所有主机都恢复在线后，选项又是“打开容错”（我想一旦打开，它就会一直打开？）

此外，如果我再次单击以打开容错，我会收到消息“虚拟机正在以与容错不兼容的监控模式下运行。” 然而，选择 VT-x/AMD-V 是在我的初始测试之前最后一次解决这个问题的方法，它仍然在菜单中被选中。

问题

• 这是显示中的错误，机器仍然可以容错吗？
• 这是我每次都需要重新配置的东西吗？
• 一旦一台机器被配置为容错，它会永远保持在那个模式吗？我的猜测是它应该，但这种经历让我质疑它。

更新：更多信息（潜在线索？）

为了使事情更有趣，我只是尝试了以下操作：

• 将 VM 上的 CPU/MMU 设置回“自动”
• 重启虚拟机
• 将 CPU/MMU 设置回第一次工作的英特尔设置
• 重启虚拟机
• 单击“打开容错”
• ...并收到相同的错误。

谢谢！

背景

我正在安装一个新的 VMWare，包括：

• 1 个 vCenter Server（包含清单服务、SSO、vCenter 服务器和 Web 客户端服务器）
• 2 个 ESX 服务器配置在一个 HA 组中

问题

当我查看任何一台服务器的摘要时，我收到一条通知：“该主机当前没有管理网络冗余”。

这在我们的场景中是预期的，我们对此没有意见。

尝试的解决方案

正如我从本文和讨论中了解到的那样，删除错误消息的正确方法是通过将“das.ignoreRedundantNetWarning”属性设置为“true”来忽略它。

我采取了以下步骤：

• 登录到 vCenter
• 右键单击我的 HA 集群并选择“编辑设置...”
• 单击“vSphere HA”部分
• 单击“高级选项...”
• 添加了值为“true”的“das.ignoreRedundantNetWarning”选项。

问题

我如何让这个错误消失，以及为什么添加这个选项可能不起作用的任何原因？

参考

• 在 vCenter Server 中配置 VMware High Availability 时出现网络冗余消息 [VMWare 知识库]
• 如何删除通知“没有管理网络冗余” [VMWare Community]

问题

我刚刚单独安装完 vCenter Server 5.1。我使用本地 SQL 2008 R2 DB（不是 SQL Express）单独安装了这些组件，但在同一台机器上。

除了 SSO 之外，一切似乎都正常工作。它找不到 AD 服务器。这是意料之中的（见下文），但我不知道如何解决。

潜在线索/采取的步骤

• 在安装 SSO 期间，我以本地管理员身份登录（等待中央 IT 部门创建服务帐户）。结果，我收到一条消息，说 SSO 无法自动定位 AD。（足够公平）
• 在我稍微阅读了一下之后，我相信我可以进入 Web 客户端中的 SSO 配置选项，如下所示：

然而，我实际看到的是：

• 我还注意到“SSO 用户和组”条目不存在。投注也与它有关。

问题

• 如何获得“配置”选项以显示 SSO？
• 总体目标：如何在本地管理员登录的情况下手动进入AD服务器？

参考

• VMWare vCenter 5.1 安装：第 9 部分（可选的 SSO 配置） [Derek Seaman 的博客]
  • （使用正确配置菜单的图像）

我正在与：

• 我正在配置的两个新 ESX 服务器
• 我用于 vCenter 的新 Server 2008 R2 机器。

我采取了以下步骤：

• 在 2 台 ESX 机器上安装 Hypervisor
• 检查他们的设置/连接（看起来很好；可以 ping 等）
• 在 Win2k8R2 机器上安装了 vCenter Server。这包括安装 SQL Express 数据库（我们是一家小商店）
  • 仅供参考，我更改了一些端口（443 --> 8443、80 -->8080 等）
• 在 Win2k8R2 盒子上安装 vCenter Web Client Server

问题

• 我桌面上的 vSphere Client 无法连接。部分原因是它要求我提供用户名和密码，但我不记得在设置安装时指定了一个。
  • 我收到错误消息“ vSphere Client 无法连接到 [machinename]。发生未知连接错误。（由于连接失败，请求失败。（无法连接到远程服务器））”
  • 我还尝试使用本地机器管理员凭据，包括格式machinename\localuseracct。
  • 我也尝试过使用我的域凭据，它是该框的管理员。
  • 我也检查过，服务正在运行。
  • 我还尝试通过本地安装在服务器上的 vSphere 客户端进行连接。它将“localhost”翻译成正确的名称，但给出了同样的错误。
• 我无法从 vCenter Web Client 服务器注册 vCenter 服务器。我不确定这是否有必要，因为它们都在同一台机器上，但这似乎是合乎逻辑的下一步。在这种情况下，我也收到“连接失败”错误。
  • 仅供参考，vCenter 服务器和 vCenter Web 客户端服务器都安装在同一台 Win2k8R2 服务器上。

我在这里错过了什么？在这种情况下，最好的测试方法是什么？

• 我有一个现有的 vCenter 服务器 (v5.0) 和两个现有的 ESXi 服务器。
• 我最近在两台新服务器上安装了 ESXi v5.1。
• 我配置了他们的主机名、IP、DNS、网关等，都通过了他们的管理网络测试。
• 我也可以通过 ip 和主机名从我的机器上 ping 它们。
• 我可以使用“root”和我熟知的密码从控制台登录到本地机器。

在我现有的 vCenter 中，当我尝试将新服务器添加到集群时，我收到错误“发生一般系统错误：定时等待 vpxa 启动” ——列出的特定事件是“无法连接 [myservername]：用户名或密码不正确。”

• 我尝试添加有和没有 FQDN 的服务器
• 我已经尝试使用许可证密钥并处于评估模式
• 我已经为安装了 ESXi 的两台新服务器尝试了这些步骤。

不知道从哪里开始。希望避免收到支持票；在此先感谢您提供的任何帮助！

背景/问题

• 我有两台新服务器（Dell R720 和 Dell R520），我计划在其中安装 ESXi。
• 在 VMWare Hypervisor 安装期间，我被告知不存在网络适配器。
• 检查后，我意识到还需要 Broadcom NetXtreme I 驱动程序
• 我已经从 VMWare 的网站上获得了 Broadcom 驱动程序软件包
• 我已经在桌面上安装了 PowerCLI，以备不时之需。

问题

大多数 ESXi 指南都描述了在已经设置过一次的服务器上执行此操作，但我是第一次在这些机器上安装 ESXi。

• 如何正确地将这些网卡驱动程序放入安装过程？

• 我的印象是我可能需要配置一个包含这些驱动程序的自定义安装包（并使用 PowerCLI 来执行此操作）——如果是这样，我该如何最好地执行此操作？

背景/目标

我有一个正在部署的 VMWare 模板，我正在使用 VMWare 的“自定义规范”来执行许多 sysprep 任务。

我需要完成的最后一件事是按顺序静默安装多个应用程序。我有一个执行此操作的 PowerShell 脚本，但它仅在提升时有效。

VMWare 具有“运行一次”功能作为其定制规范的一部分。理想情况下，我想使用它以提升的方式调用 PowerShell 脚本，以便它在我以管理员身份首次登录时运行。

我试过的/问题

• 我尝试从 Run Once 命令调用 PsExec -s，并让 PsExec 调用 powershell。不幸的是，PsExec 需要在提升的命令行中运行，所以这行不通。

问题

我突然想到这可能是不可能的。我想错了吗？我是否应该编写一个远程 PS1 并在创建的机器上运行它？这是可行的，但我想尽可能地尝试自动化，并消除除我之外可能想要部署的人的任何困惑。