Massimo's questions

我是一名 IT 顾问，经常需要在电脑上安装各种 VPN 客户端才能连接到客户的网络；从 2020 年 3 月开始，出于众所周知的原因，我开始一直在家工作。

直到几个月前，我有一个 100 Mb/s ADSL 互联网连接，因此我从未注意到我接下来要描述什么；然后我将连接升级到 FTTH 1Gb/s 连接，通常可以达到 800-900 MB/s 的下载速度和 100 Mb/s 的上传速度。

但是，当我安装一些 VPN 客户端，即 FortiClient 和 ForcePoint 时，发生了一些奇怪的事情：我的下载速度被限制在大约 400 MB/s，即使没有建立 VPN 连接，即使我杀死所有与 VPN 相关的进程并停止所有相关服务；即使没有使用 VPN 客户端软件，甚至没有为其运行任何进程，我的网络连接仍然非常缓慢；解决此问题的唯一方法是完全卸载 VPN 客户端软件。

起初我只在 ForcePoint 上遇到过这个问题，但后来我用 FortiClient 再次见证了它；其他 VPN 客户端（例如 Cisco AnyConnect 或 CheckPoint）没有出现问题。

为什么会这样？如果软件已安装但未实际使用，怎么会发生这种情况？

操作系统是 Windows 10 21H1 x64，具有最新更新。

附录。

这不是我 PC 上的一个孤立案例，我在几台不同的计算机上观察到它，并且其他人使用我提到的软件报告了它；这似乎是与安装那些特定的 VPN 客户端软件包有关的问题，只有当您真正拥有快速的 Internet 连接时才会注意到（减速似乎将其限制在 400 Mb/s 左右，如果您根本不会注意到它您的连接开始时较慢）并且在安装软件后立即发生，无论其实际使用情况如何；唯一的解决办法是卸载有问题的软件。

更新

看起来问题是由网络过滤器驱动程序引起的安装。

具体来说：

• ForcePoint 安装 aForcePoint VPN Client Driver并将其绑定到系统中的所有网络适配器。
• FortiClient 安装一个FortiClient NDIS 6.3 Packet Filter Driver并将其绑定到系统中的所有网络适配器。

如果这些驱动程序未与 NIC 绑定，问题就会消失，并且会恢复完整的连接速度。

其他 VPN 客户端（Cisco、CheckPoint）不会这样做，也不会造成这种减速。

现在问题变成了：这些驱动程序能否安全地与真实的 NIC 解除绑定，而不影响 VPN 客户端的操作，还是需要它们？
这是在某处记录的吗？

根据这个问题，我有一个环境，其中无法颁发基于“Kerberos 身份验证”模板的证书（有远程站点没有直接连接到 CA，证书注册使用 CEP/CES，但 Kerberos 身份验证模板需要 CA连接回请求的 DC；链接问题中的完整详细信息）。

我们可以在没有这些证书的情况下生活......但是当启用自动注册时，所有域控制器都会不断请求它们。

我尝试禁用模板，但 DC 不断尝试并失败，并出现错误“此 CA 不支持请求的证书模板”。

我如何告诉 DC 只请求“域控制器身份验证”证书并停止尝试获取“Kerberos 身份验证”证书？

我目前正在为网络未完全连接的客户实施企业证书颁发机构；它跨越多个地理站点，其中一些没有路由到 CA 所在的站点。

为了解决这个问题，我使用了Certificate Enrollment Web Service，它允许通过 HTTPS 进行证书注册；该服务通过公共名称和 IP 地址公开，远程站点中的计算机可以通过这种方式访问​​它。

该解决方案适用于各种证书；但是，远程站点中的域控制器无法使用“Kerberos 身份验证”模板（最近的 DC 在启用自动注册时尝试使用该模板）获取证书；该错误是通用的“RPC 服务器不可用”，但它发生在 CA 本身，并记录了失败的请求。

这让我困惑了一会儿，直到我决定查看网络流量；你瞧，似乎当使用模板“Kerberos 身份验证”请求证书时，CA 尝试连接回发出请求的域控制器。这在客户网络中是不可能的，这似乎是请求失败的原因。

我猜 CA 在某种程度上试图验证请求证书的计算机实际上是域控制器；但是，我找不到任何文档，而且这样的“回调”似乎与证书请求的客户端/服务器逻辑相反。

这种行为是否记录在任何地方？

可以关闭吗？

CA 上的操作系统是 Windows Server 2019。

编辑

AD 森林中有四个域；CA 位于林根域中。
所有域中的所有 DC 的行为都是相同的：每当请求“Kerberos 身份验证”证书时，无论是手动还是通过自动注册，CA 都会尝试在端口 445 和 139 上联系请求的 DC（奇怪的是，有没有实际的 LDAP、Kerberos 或 RPC 流量）；当失败时，请求被拒绝，错误“被策略模块拒绝”和状态代码“RPC 服务器不可用”。

这仅适用于“Kerberos 身份验证”证书；所有其他证书都可以通过 CES 成功注册，包括“域控制器身份验证”和“目录电子邮件复制”。

我还针对实际上可以与 CA 对话的 DC 进行了测试：如果从 DC 到 CA 的流量被阻止，从而强制请求使用 CES，而不是相反，则请求成功；如果从 CA 到 DC 的流量被阻止，则请求失败。

正如每个 Windows 系统管理员在 2019 年应该知道的那样，“Windows 防火墙”服务是 Windows 网络堆栈的关键组件，它永远不应该被停止或被禁用；让任何流量流入/流出 Windows 服务器的正确方法是将防火墙配置为允许任何东西通过，但不会实际停止 Windows 防火墙服务；事实上，这不仅不受 Microsoft 支持，而且还可能导致任何奇怪的网络问题。

这甚至（有点）在文档中明确提到：

不要通过停止服务来禁用 Windows 防火墙。相反，请使用上述过程之一（或等效的组策略设置）来关闭防火墙。[...] Microsoft 不支持停止与高级安全 Windows 防火墙关联的服务。

现在，我有一堆服务器，以前的系统管理员认为禁用 Windows 防火墙服务是个好主意，所以他们这样做了。我需要重新激活它，但是一旦这样做，我就会立即失去与系统的网络连接（因为当然没有人会费心实际配置 Windows 防火墙以允许诸如 RDP 之类的东西进入）；在重新启动服务之前，我也无法手动更改 Windows 防火墙配置，无论是通过 GUI 还是通过netsh，因为这两个工具都抱怨 Windows 防火墙服务被停止，因此不会让我配置任何东西。

到目前为止，唯一可行的方法是使用这些服务器的物理（好的，虚拟）控制台重新启用 Windows 防火墙服务，然后设置适当的防火墙例外（或完全允许所有流量）；但是，这对于大量系统或您实际上没有控制台访问权限是不可行的。

如何配置 Windows 防火墙以在服务关闭时和重新启动之前接受所有（或部分）传入连接？

我需要查询 System Center Configuration Manager（当前分支，版本 1606）以获取有关客户端计算机的磁盘、分区和卷的信息。

但是，似乎没有任何方法可以将逻辑磁盘与物理磁盘和分区相关联。这些数据在资源浏览器中显示为三个不同的类，甚至相应的数据库表和视图也无法将逻辑磁盘链接到物理磁盘和分区（相反，分区至少可以链接到其物理磁盘）。

不幸的是，这似乎是 Windows 系统中的一个众所周知的问题，即使使用 WMI 也很难解决：
https ://blogs.technet.microsoft.com/heyscriptingguy/2005/05/23/how-can-i-相关逻辑驱动器和物理磁盘
https://stackoverflow.com/questions/4822559/powershell-and-wmi-how-to-map-logical-disk-volumes-to-a-hard-disk-or -反之亦然

这真的能这么难吗？是否有可能从 SCCM 检索逻辑磁盘列表以及它们所在的物理磁盘和分区？

我正在使用robocopy在两个不同的服务器之间同步文件（其中一个不是 Windows 服务器，但公开了类似 Windows 的共享）；但我遇到了权限问题。

我需要复制所有内容并保留现有的 ACL；我正在使用这样的命令：

robocopy.exe \\server1\share \\server2\share /mir /copyall

但是，运行此命令的用户帐户仅对某些文件夹具有读取权限；这导致了一个有趣的问题：第一次同步后，相同的权限将应用于复制的文件夹......因此用户帐户失去了对这些文件夹的写访问权限并且无法再更新它们。

有没有办法避免或解决这个问题？

配置 Active Directory 站点间复制时，复制间隔的下限为 15 分钟；或者至少，此限制由 AD 站点和服务控制台强制执行。

有没有办法将站点链接的站点间复制间隔配置为较低的值？

注意我知道我可以将所有 DC 放在同一个站点中，这将强制执行连续复制；但我想拥有适当的 AD 站点，要求实际上是降低站点间复制间隔。

一家公司正在使用带有 ADFS 身份验证的 Office 365；AD Connect用于目录同步，ADFS是Windows server 2012 R2版本。

该公司有多个 Active Directory 域：

parent1.com
    child1.parent1.com
    child2.parent1.com
    child3.parent1.com
parent2.com
    ...
...

根域在 Office 365 中配置为联合域（公共域名和 AD 域名相同）；这很好用，用户可以使用他们的 UPN（例如[email protected]）和他们的 AD 密码登录到 Office 365。

我需要添加对子域的支持；因此，我child1.parent1.com通过运行以下命令添加到 Office 365（在使用管理员帐户连接到 Office 365 之后Connect-MsolService）：

New-MsolFederatedDomain -DomainName child1.parent1.com -SupportMultipleDomain

（注意如果我不使用该SupportMultipleDomain参数，PowerShell 会给出一个错误，说明它是必需的）。

然后我继续在私有和公共 DNS 中添加所有必需的 DNS 记录；DNS 记录的 Office 365 验证报告一切正常。

然后将子域添加到 AD Connect，并执行同步；来自子域的用户因此出现在 Office 365 中，用户名如[email protected]. 我为他们分配了适当的许可证并尝试登录 Office 365 门户。

但是，子域的用户无法登录；他们收到“无效请求”错误，并附有以下附加详细信息：

Correlation ID: b1e47d45-b21c-42e9-9758-265804db7171 
Timestamp: 2016-08-10 20:27:48Z 
AADSTS50107: Requested federation realm
object 'http://child1.parent1.com/adfs/services/trust/' does not exist. 

ADFS 方面显然有问题，但我不是这方面的专家，也不是我设置它的人；如何解决此问题，以便子域中的用户可以成功登录 Office 365？

Windows 8 / 8.1 / 10 具有称为“快速启动”（或“快速启动”、“混合启动”、“混合关机”等）的功能，当您告诉它时，它实际上并没有关闭计算机它这样做，而不是将其置于某种休眠状态，以加快启动时间。

尽管乍一看这似乎不错，但它有几个已知且丑陋的副作用：

• 它可能会严重破坏某些系统（可能在使用旧的/不兼容的驱动程序或 BIOS 时），导致系统在启动时崩溃并随后强制完全启动（这是我在几个不同的系统上亲眼目睹的......如果您还使用镜像动态磁盘，系统崩溃后将始终进行完全重新同步）。
• 它对一些组策略的处理确实很不利，这些策略需要实际的系统重新启动才能应用。
• 最后但并非最不重要的一点是，众所周知，Wake-On-Lan 无法使用。这是我在将几台 Windows 7 PC 升级到 Windows 10 后目前面临的问题，这些 PC 过去 WOL 非常好，现在不再需要了。

由于这些和其他原因，我希望能够使用组策略管理快速启动；但是，我能找到的关于此 ( Computer Configuration\Policies\Administrative Templates\System\Shutdown\Require use of fast startup) 的唯一策略只能用于强制使用快速启动，但不能禁用它：它的描述明确指出if you disable or do not configure this policy setting, the local setting is used.

因此，我的问题是：如何使用组策略禁用快速启动？

我添加这个 Q/A 是因为我今天偶然发现了这个限制，但我找不到任何关于它的文档；有 一篇关于这个问题的旧 KB 文章，但它目前没有被谷歌索引（可能是因为它是几年前发布的并且从未更新过），并且这个问题从未在其他地方提及。

是否可以在父域中创建与子域同名的 OU？
是否可以在父域中创建与 OU 同名的子域？

Lync 2013的VDI 插件允许通过远程桌面连接使用 Lync 2013（安装某些更新后自动变为 SFB），而不会降低性能，方法是将音频/视频处理卸载到 RDP 客户端。

但是，如果您在虚拟桌面/终端服务器上使用 Office 2016 和 Skype For Business 2016，该怎么办？

我正在为 SMB 客户（约 25 个邮箱）从本地 Exchange 2010 迁移到 Exchange Online；我已经设置了混合配置，我目前正在移动邮箱数据；一切正常。

源环境有一个公用文件夹，其中托管数百个联系人；它的总大小非常小，客户认为一次性迁移这些数据（不经常更改）非常好。公用文件夹不支持邮件，权限很简单，“每个人都可以阅读，几个用户可以编辑联系人”。

我对公共文件夹的官方公共迁移过程很熟悉，但我发现对于这种情况来说它非常麻烦，需要移动的数据很少，也不需要持续同步。

有没有更简单的方法来实现这一点？理想情况下，我会寻找类似“在 Exchange Online 上创建一个空的公用文件夹结构，使用 Outlook 将当前公用文件夹数据导出到 .PST 文件，将 Outlook 连接到 Exchange Online，导入数据”之类的内容。

我正在为一家迄今为止一直在运行本地 Exchange 2010 服务器的 SMB 公司迁移到 Office 365 / Exchange Online；我们在这里谈论〜25个邮箱。

但是，有一个通过 SMTP 向 Exchange 发送消息的 LOB 应用程序，它基于经典的 ASP 并使用相当古老的 CDO 库。

我知道 Exchange Online 仅在使用身份验证时接受 SMTP 提交，并且仅使用 TLS 加密；但是，CDO 似乎不支持这一点：它最多可以做的是 SSL，直到前一段时间 Exchange Online 还支持它，但它似乎不再支持了。

互联网上有几个讨论（包括这个站点和 StackOverflow）建议使用 SSL 来完成这项工作；但是，正如我已经说过的，这只是一个选项，直到不久前：现在 Exchange Online 仅支持 TLS 用于 SMTP 提交。

我也完全了解这两种可能的解决方法，即 1) 使用本地 SMTP 中继和 2) 在 Exchange Online 中创建接收连接器以允许来自公司公共 IP 地址的未经身份验证的中继；但是，出于显而易见的原因，我想采取正确的方法，让应用程序使用 SMTP 身份验证发送其消息。

我在这里寻找一个明确的答案：现在是否可以让基于 CDO 的应用程序向 Exchange Online 提交消息？或者，更具体地说，基于 CDO 的应用程序是否可以通过 TLS 连接支持 SMTP 身份验证？

我需要在两个 Windows Server 2003 域控制器上安装Active Directory 管理网关服务，以便能够在环境中的其他计算机上使用 Active Directory PowerShell 模块；这是在域中没有更新的 DC 的一种解决方法，这是目前无法解决的情况。

但是，上述软件包需要修补程序KB969166，它似乎在任何地方都不可用，甚至在请求时也不可用（因为它是另一个必需的修补程序KB969429的情况）。

下载页面声明“此修补程序最终将合并到 .NET Framework 4.0 中”，但这似乎不是一个解决方案，因为 4.0 框架实际上安装在那些域控制器上（以及所有可用的 .NET更新），但我在安装 ADMGS 时仍然收到错误，因为缺少该修补程序。

我知道我们在这里没有支持；不幸的是，向环境中添加另一个 DC 不是一种选择。尽管如此，该软件包仍应可用，并且它需要安装的修补程序应该可用。

我该如何解决这个问题？

我偶然发现了 Skype for Business 2015 的一个奇怪问题（客户端应用程序，以前称为 Lync 2013，但通过一些 Office 更新自动升级到 SfB 2015）；也许我错过了一些东西，但我无法找到解决方案，因此这个问题。

问题：有人邀请您参加会议，但您没有 Lync/SfB 帐户，因此您需要通过单击收到的会议链接以外部访客身份加入会议；但是，该应用程序实际上已安装在您的计算机上，作为 Office 2013 软件包的一部分；在这种情况下，单击会议链接将自动启动应用程序，但随后会卡在要求您提供您没有的登录信息。如果实际安装了应用程序，或者以访客身份登录，似乎无法避免启动该应用程序。

当应用程序安装在您的计算机上但您没有任何可以使用的帐户时，如何以访客身份加入 Lync 2013 / Skype for Business 会议？

我正在用 SonicWall NSA 3600 替换 ForeFront TMG 2010 防火墙；当前的防火墙使用 SSTP 提供对我们网络的 VPN 访问，并且它与任何最新的 Windows 客户端一起工作，无需安装任何额外的软件。

SonicWall 防火墙支持 SSL VPN，但显然需要安装名为 NetExtender 的软件；它可以直接从防火墙登录页面下载，因此没什么大不了的……但我们真的更愿意避免安装任何软件，只使用 Windows 内置的 VPN 客户端。

是否可以仅使用内置 VPN 客户端从 Windows 计算机建立与 SonicWall 防火墙的 SSL VPN 连接？如果是，如何？

NB 防火墙还支持 L2TP ant，它可以与 Windows 内置 VPN 客户端（以及其他几个客户端）一起正常工作；不幸的是，这不是一个选择：我们的人员经常前往客户站点，互联网访问仅限于 HTTP/S，因此 SSL VPN 是必须的。

场景：Windows Server 2003 AD 域中的单个 Exchange 2013 服务器；一个 DC 几个月前发生故障并被解雇（没有适当的降级，不少于）；另一个 DC 昨天死了，没有可用的备份。简单地说，那个广告已经不复存在了。

Exchange 服务器是完全可操作的，但 Exchange 本身当然不是；但是，数据库文件是安全的，甚至可以使数据库进入干净的关闭状态。

AD 域必须从头开始重建；没什么大的损失，这是一家小公司，20 台 PC 需要重新加入新域，20 位用户将面临干净的用户配置文件，一些文件共享需要重新 ACL，但总的来说这不是一个大灾难（尽管它确实教会了他们，虽然拥有一个 DC 只是意味着自找麻烦，但拥有一个 DC而没有备份则要疯狂得多）。

该公司实际上对再次推出 Exchange 并不感兴趣：他们承认他们完全不适合运行比文件服务器更复杂的东西，并且全心全意地迁移到 Office 365；但是，他们希望恢复其 Exchange 数据。

我可以构建任何我需要的实验室环境，因此创建一个新的 AD 和一个新的 Exchange 2013 服务器是没有问题的；但是，为了在新的 AD/Exchange 环境中安装恢复的数据库，我实际上需要什么？

几年前我用 Exchange 2003 做到了这一点，这是一种皇家痛苦；它有效，但它需要Exchange 配置的每一位都匹配，从 AD 和 Exchange 组织名称到数据库路径和用户名。但是，我们现在有了 Exchange 2013，它有很多不错的改进，应该让事情变得更容易：管理/路由组不再存在，新的存储架构废除了存储组并将数据库与服务器解耦，最后还有传说中的数据库可移植性（但它只在同一组织中的服务器之间工作）和绝对可爱的恢复数据库。

我所知道的：已失效的 AD 域的名称、Exchange 服务器的名称、数据库名称及其文件路径、Exchange 2013 版本 (CU3)。
我不知道：交换组织的名称（我可以猜到但我不能确定），用户登录名（同上）。

为了挂载 Exchange 数据库并运行多个 MailboxExportRequests，这些参数中有多少仍需要匹配？这个恢复过程是否有所改进，还是仍然需要手动操作？恢复数据库会有所帮助吗（我只需要挂载数据库并导出数据，而不是实际使用它）？

它甚至可以像“只需启动一个新的 Exchange 服务器、创建一个空数据库、复制恢复的文件、安装数据库并导出所有内容”一样简单......还是我们肯定还没有完成？

我正在 Azure 上构建测试 Lync 部署；是的，我知道这不受支持，因此是“测试”。

Lync 前端服务器公开了两组 Web 服务，一组用于内部用户，一组用于外部用户；他们侦听同一服务器上的不同端口（443 和 4443）；发布外部服务时，您需要反向代理或端口转发，以便将公共 IP 地址的端口 443 映射到前端服务器的端口 4443。当池中有多个前端服务器时，您还需要对它们进行负载平衡。

因此，典型的 Lync 部署如下所示：

       Internal users
             |
            443
             |
         Internal LB
        192.168.0.20
        /          \
       /            \
    443             443
     |               |
 Lync FE 1       Lync FE 2
192.168.0.21   192.168.0.22
     |               |
    4443           4443
      \             /
       \           /
        External LB
     Public IP Address
             |
            443
             |
       External Users

这应该很容易在 Azure 中复制，因为它支持外部负载平衡（配置方法）和内部负载平衡（配置方法）。它们甚至在同一个云服务中同时受到支持，因此这种配置应该很容易。但是，看起来“应该”是这里的关键字。

创建外部负载平衡端点（侦听外部端口 443 并转发到服务器上的端口 4443）后，我正在尝试创建内部负载平衡器并将内部端点添加到 is; 但是，虽然 ILB 可以成功创建，但添加一个内部端点侦听端口 443 并转发到服务器上的端口 443 却惨遭失败，并显示端口 443 已被另一个端点使用的错误：

Update-AzureVM : BadRequest : Port 443 is already in use by one of the endpoints
in this deployment. Ensure that the port numbers are unique across endpoints
within a deployment.

作为参考，我的命令是：

Add-AzureInternalLoadBalancer -InternalLoadBalancerName "LyncILB" -ServiceName "LyncFrontEnd" -SubnetName "LabSubnet" -StaticVNetIPAddress 192.168.0.20

（这成功完成）

Get-AzureVM LYNCFE1 | Add-AzureEndpoint -Name "Https-Int" -Protocol "tcp" -LocalPort 443 -PublicPort 443 -LBSetName "HttpsIntLB" -DefaultProbe -InternalLoadBalancerName "LyncILB"

（这失败了）

现有的外部端点配置如下：

Get-AzureVM LYNCFE1 | get-azureendpoint

LBSetName                : HttpsExtLB
LocalPort                : 4443
Name                     : HTTPS-Ext
Port                     : 443
Protocol                 : tcp
Vip                      :
ProbePath                :
ProbePort                : 4443
ProbeProtocol            : tcp
ProbeIntervalInSeconds   : 15
ProbeTimeoutInSeconds    : 31
EnableDirectServerReturn : False
Acl                      : {}
InternalLoadBalancerName :
IdleTimeoutInMinutes     :
LoadBalancerDistribution :

这个错误甚至没有多大意义。外部负载均衡器侦听公共 IP 地址，而内部负载均衡器侦听内部网络中的私有 IP 地址；这里不应该有任何冲突......但是看起来有一个。

为什么这不起作用？是我做错了什么，还是 Azure 网络又像往常一样愚蠢？

我正在同一个林中构建一个包含多个 Active Directory 域的测试环境，但是在尝试将子域添加到林根域时遇到了奇怪的问题。

所有服务器都是运行在 Azure 云平台上的 Windows Server 2012 R2 虚拟机，连接到同一个虚拟网络；它们具有静态保留的 IP 地址，并且可以在没有任何网络问题的情况下相互交谈。

我的域结构是（或至少应该是）如下：

    A0.lab (forest root)            B0.lab
   /  \                            /  \
  A1  A2                          B1  B2
  |                               |
  A3                              B3

因此：

• A0.lab（林根）
• A1.A0.实验室
• A2.A0.实验室
• A3.A1.A0.lab
• B0.lab
• B1.B0.lab
• B2.B0.lab
• B3.B1.B0.lab

我已经成功创建了林根域 (A0.lab)，并且我已经定义了一个 AD 站点及其子网；域运行正常。

接下来，我已将应成为第一个子域 (A1.A0.lab) 的域控制器的服务器配置为使用根 DC 作为其 DNS 服务器，并启动了升级向导；我已经填写了所有参数，包括根域的域管理员的用户帐户和创建 DNS 委托的选项；所有先决条件检查均成功。

当我开始实际的升级过程时，它停在“复制模式目录分区”阶段。“目录服务”事件日志反复填充几个错误：

事件 ID 1963，源 ActiveDirectory_DomainService，任务类别 DS RPC 客户端：

Internal event: The following local directory service received an exception from a
remote procedure call (RPC) connection. Extensive RPC information was requested. This
is intermediate information and might not contain a possible cause. 

Process ID:  
540  

Reported error information:  
Error value:  
Could not find the domain controller for this domain. (1908)  
directory service:  
DCA0.a0.lab  

Extensive error information:  
Error value:  
A security package specific error occurred. 1825  
directory service:  
DCA1  

Additional Data  
Internal ID:  
5000e02

事件 ID 1961，源 ActiveDirectory_DomainService，任务类别 DS RPC 客户端：

Internal event: This log entry is a continuation from the preceding extended error
information entry on the following error and directory service. 

Extended information:  
Error value:  
A security package specific error occurred. (1825)  
directory service:  
DCA1  

Supplemental information:  
Detection location:  
1461  
Generating component:  
RPC Runtime  
Time at directory service:  
2015-03-19 21:44:04  

Additional Data  
Error value:  
A security package specific error occurred. (1825)

事件 ID 2839，源 ActiveDirectory_DomainService，任务类别 DS RPC 客户端：

Internal event: This log entry is a continuation from the preceding extended error
information entry. 

Extended information:  
Extended Error Parameters:  
0  
Parameter 1:  
(NULL)  
Parameter 2:  
(NULL)  
Parameter 3:  
(NULL)  
Parameter 4:  
(NULL)  
Parameter 5:  
%6  
Parameter 6:  
%7  
Parameter 7:  
%8

事件 ID 1962，源 ActiveDirectory_DomainService，任务类别 DS RPC 客户端：

Internal event: The local directory service received an exception from a remote
procedure call (RPC) connection. Extended error information is not available. 

directory service:  
DCA0.a0.lab  

Additional Data  
Error value:  
Could not find the domain controller for this domain. (1908)

事件 ID 1125，源 ActiveDirectory_DomainService，任务类别设置：

The Active Directory Domain Services Installation Wizard (Dcpromo) was unable to
establish connection with the following domain controller. 

Domain controller:
DCA0.a0.lab 

Additional Data  
Error value:  
1908 Could not find the domain controller for this domain.

这些错误一次又一次地重复，但没有进展或失败，推广过程只是停滞不前。

以下是该dcpromo.log文件的内容：

03/19/2015 22:43:35 [INFO] Promotion request for domain controller of new domain
03/19/2015 22:43:35 [INFO] DnsDomainName  a1.a0.lab
03/19/2015 22:43:35 [INFO]  FlatDomainName  A1
03/19/2015 22:43:35 [INFO]  SiteName  Lab
03/19/2015 22:43:35 [INFO]  SystemVolumeRootPath  C:\Windows\SYSVOL
03/19/2015 22:43:35 [INFO]  DsDatabasePath  C:\Windows\NTDS, DsLogPath  C:\Windows\NTDS
03/19/2015 22:43:35 [INFO]  ParentDnsDomainName  a0.lab
03/19/2015 22:43:35 [INFO]  ParentServer  DCA0.a0.lab
03/19/2015 22:43:35 [INFO]  Account A0\AdmA0
03/19/2015 22:43:35 [INFO]  Options  5243072
03/19/2015 22:43:35 [INFO] Validate supplied paths
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\NTDS.
03/19/2015 22:43:35 [INFO]  Path is a directory
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\NTDS.
03/19/2015 22:43:35 [INFO]  Path is a directory
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO] Validating path C:\Windows\SYSVOL.
03/19/2015 22:43:35 [INFO]  Path is on a fixed disk drive.
03/19/2015 22:43:35 [INFO]  Path is on an NTFS volume
03/19/2015 22:43:35 [INFO] Child domain creation -- check the new domain name is child of parent domain name.
03/19/2015 22:43:35 [INFO] Domain Creation -- check that the flat name is unique.
03/19/2015 22:43:40 [INFO] Start the worker task
03/19/2015 22:43:40 [INFO] Request for promotion returning 0
03/19/2015 22:43:42 [INFO] Using supplied domain controller: DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Using supplied site: Lab
03/19/2015 22:43:42 [INFO] Forcing time sync
03/19/2015 22:43:42 [INFO] Forcing a time sync with DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Reading domain policy from the domain controller DCA0.a0.lab
03/19/2015 22:43:42 [INFO] Stopping service NETLOGON
03/19/2015 22:43:42 [INFO] Stopping service NETLOGON
03/19/2015 22:43:42 [INFO] ControlService(STOP) on NETLOGON returned 0(gle=1062)
03/19/2015 22:43:42 [INFO] Exiting service-stop loop after service NETLOGON entered STOPPED state
03/19/2015 22:43:42 [INFO] StopService on NETLOGON returned 0
03/19/2015 22:43:42 [INFO] Configuring service NETLOGON to 1 returned 0
03/19/2015 22:43:42 [INFO] Stopped NETLOGON
03/19/2015 22:43:42 [INFO] Creating the System Volume C:\Windows\SYSVOL
03/19/2015 22:43:42 [INFO] Deleting current sysvol path C:\Windows\SYSVOL 
03/19/2015 22:43:44 [INFO] Preparing for system volume replication using root C:\Windows\SYSVOL
03/19/2015 22:43:44 [INFO] Created the system volume
03/19/2015 22:43:44 [INFO] Copying initial Directory Service database file C:\Windows\system32\ntds.dit to C:\Windows\NTDS\ntds.dit
03/19/2015 22:43:44 [INFO] Installing the Directory Service
03/19/2015 22:43:44 [INFO] Calling NtdsInstall for a1.a0.lab
03/19/2015 22:43:44 [INFO] Starting Active Directory Domain Services installation
03/19/2015 22:43:44 [INFO] Validating user supplied options
03/19/2015 22:43:44 [INFO] Determining a site in which to install
03/19/2015 22:43:44 [INFO] Examining an existing forest...
03/19/2015 22:43:44 [INFO] Configuring the local computer to host Active Directory Domain Services
03/19/2015 22:43:48 [INFO] EVENTLOG (Informational): NTDS General / Service Control : 1094  
Software write caching for the following disk drive has been disabled to prevent possible data loss during system failures such as power outages or hardware component failures that can cause a sudden shutdown of the system. The disk drive that stores Active Directory Domain Services log files is the only drive affected by this change.

Disk drive:  
c:

03/19/2015 22:43:59 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2013  
Active Directory Domain Services is rebuilding the following number of indices as part of the initialization process.

Number of indices:  
1

Indices:  
LCL_ABVIEW_index00000410 +ATTb590468 

03/19/2015 22:43:59 [INFO] EVENTLOG (Informational): NTDS Database / Internal Processing : 2014  
Active Directory Domain Services successfully completed rebuilding the following number of indices.

Indices:  
1

03/19/2015 22:44:00 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2120  
This Active Directory Domain Services server does not support the Recycle Bin. Deleted objects may be undeleted, however, when an object is undeleted, some attributes of that object may be lost.  Additionally, attributes of other objects that refer to the object being undeleted may also be lost.

03/19/2015 22:44:00 [INFO] EVENTLOG (Informational): NTDS General / Internal Configuration : 2405  
This Active Directory Domain Services server does not support the "Recycle Bin Feature" optional feature.

03/19/2015 22:44:00 [INFO] Replicating the schema directory partition

在此之后，将记录事件日志中报告的相同错误。

我发现这篇文章指出如果管理员帐户在新 DC 和您正在登录的域上具有相同的密码，则可能会发生此错误；我根本没有使用内置管理员帐户，因为这些是 Azure VM，但实际上我在第一次测试期间在所有服务器上使用了相同的用户名和密码，因此我猜这确实可能是导致错误; 但是，我已经重建了所有服务器，并在每个服务器上创建了一个不同的本地管理员帐户（AdmA0、AdmA1、AdmA2...），并使用不同的密码；我还确保在表单中指定父域的凭据A0\AdmA0；但错误再次发生。

发生了什么，我该如何解决？

我们公司使用 Office 365，我们的电子邮件托管在 Exchange Online 上；但是，由于各种原因（主要是不支持经过身份验证的 SMTP 和 TLS），我们有几个应用程序无法直接向 Exchange Online 发送消息；因此，我们使用 IIS 的 SMTP 组件设置了几个内部邮件中继，如下所示；他们每个人都使用不同的发件人地址，并且需要使用不同的用户帐户对 Exchange Online 进行身份验证，因此我们需要为每个应用程序设置一个 SMTP 中继；这就是为什么我们有几个，每个都在服务器上运行，该服务器承载需要中继消息的应用程序。所有这些 SMTP 中继的配置方式完全相同，只是用户帐户不同。

大多数这些 SMTP 中继在 Windows Server 2008 R2 或 Windows Server 2012 系统上运行；但是，其中一个应用程序需要在 Windows Server 2003 系统上运行，因此托管在同一系统上的 SMTP 中继在 IIS 6 上运行。

直到几天前，一切都正常工作；然后，SMTP 中继仅在 Windows Server 2003 系统上停止工作，而在所有其他系统上都正常工作；SMTP 日志显示了一个非常奇怪的行为：在发出 AUTH 命令后，似乎有些东西卡住了，然后远程服务器由于超时而断开连接：

2015-03-07 17:44:27 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+AMXPR07CA0050.outlook.office365.com+Microsoft+ESMTP+MAIL+Service+ready+at+Sat,+7+Mar+2015+17:44:38++0000 0 0 108 0 16 SMTP - - - -
2015-03-07 17:44:27 157.56.251.50 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 32 SMTP - - - -
2015-03-07 17:44:27 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-AMXPR07CA0050.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 63 SMTP - - - -
2015-03-07 17:44:27 157.56.251.50 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 STARTTLS - - 0 0 8 0 63 SMTP - - - -
2015-03-07 17:44:27 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+2.0.0+SMTP+server+ready 0 0 27 0 94 SMTP - - - -
2015-03-07 17:44:30 157.56.251.50 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 2829 SMTP - - - -
2015-03-07 17:44:30 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-AMXPR07CA0050.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 2860 SMTP - - - -
2015-03-07 17:44:30 157.56.251.50 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 AUTH - - 0 0 4 0 2860 SMTP - - - -
2015-03-07 17:49:31 157.56.251.50 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 451+4.7.0+Timeout+waiting+for+client+input 0 0 42 0 303875 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+DB4PR06CA0004.outlook.office365.com+Microsoft+ESMTP+MAIL+Service+ready+at+Sat,+7+Mar+2015+17:49:43++0000 0 0 108 0 62 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 62 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-DB4PR06CA0004.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 109 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 STARTTLS - - 0 0 8 0 109 SMTP - - - -
2015-03-07 17:49:31 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+2.0.0+SMTP+server+ready 0 0 27 0 156 SMTP - - - -
2015-03-07 17:49:34 132.245.226.242 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 2609 SMTP - - - -
2015-03-07 17:49:34 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-DB4PR06CA0004.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 2656 SMTP - - - -
2015-03-07 17:49:34 132.245.226.242 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 AUTH - - 0 0 4 0 2656 SMTP - - - -
2015-03-07 17:54:34 132.245.226.242 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 451+4.7.0+Timeout+waiting+for+client+input 0 0 42 0 303015 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+DBXPR05CA0038.outlook.office365.com+Microsoft+ESMTP+MAIL+Service+ready+at+Sat,+7+Mar+2015+17:54:46++0000 0 0 108 0 47 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 47 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-DBXPR05CA0038.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 94 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 STARTTLS - - 0 0 8 0 94 SMTP - - - -
2015-03-07 17:54:34 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 220+2.0.0+SMTP+server+ready 0 0 27 0 140 SMTP - - - -
2015-03-07 17:54:37 157.56.254.178 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 EHLO - <OurServerName> 0 0 4 0 2640 SMTP - - - -
2015-03-07 17:54:37 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 250-DBXPR05CA0038.outlook.office365.com+Hello+[<OurPublicIPAddress>] 0 0 60 0 2672 SMTP - - - -
2015-03-07 17:54:37 157.56.254.178 OutboundConnectionCommand SMTPSVC1 <OurServerName> - 0 AUTH - - 0 0 4 0 2672 SMTP - - - -
2015-03-07 17:59:37 157.56.254.178 OutboundConnectionResponse SMTPSVC1 <OurServerName> - 0 - - 451+4.7.0+Timeout+waiting+for+client+input 0 0 42 0 303703 SMTP - - - -

这只发生在 Windows Server 2003 上的 IIS 6 上运行的 SMTP 中继上；在 Windows Server 2008 R2 或 Windows Server 2012 系统上运行的所有其他 SMTP 中继上一切正常。

怀疑该特定服务器中的某些问题（众所周知，它有多个问题），我们构建了一台新的 Windows Server 2003 机器，以便将应用程序移至它；但是，新服务器表现出完全相同的行为：发出 AUTH 命令后，出站 SMTP 对话停止并出现相同的错误。

出于好奇，我们尝试在服务器上的 Outlook Express 中配置相同的帐户；它工作正常，它可以使用经过身份验证的带有 TLS 的 SMTP 向 Exchange Online 发送电子邮件；该问题似乎只影响 IIS 的 SMTP 组件，并且似乎与网络、操作系统或其他任何东西无关。

什么可能导致这样的错误，我们该如何解决？

（我们知道我们不应该再使用 Windows Server 2003；但是，该应用程序只能在那里运行，并且它必须继续工作直到它可以被替换。我们还知道我们可以将 SMTP 中继移动到另一个正在运行的服务器更新的操作系统，但很高兴找到 SMTP 中继仅在 IIS 6 上失败的原因。）