Patrick's questions

这是一个纯 M365 环境。没有混合，6 个用户中有 5 个按预期工作。

6 人中有 1 人无法通过 Windows 桌面版 Outlook 登录。MS Mail/Andoird Outlook/Outlook for Web 都正常并且按预期工作。

在 Windows 桌面 Outlook 365（最新版）中，我们正常设置邮件配置文件并弹出登录框，我们输入用户并通过……什么都没有。只是循环回到要求用户/通行证。我们被困在这一点上。

发生了什么，这是跨多个机器/版本的 Outlook/网络，身份验证请求甚至似乎没有到达 Exchange Online。

如果我查看 AzureAD 登录日志，就会发现没有任何尝试使用此帐户登录 Outlook 的条目。

为了证明这一点，我尝试从具有唯一 IP 的移动热点登录。在半小时左右的零星登录尝试后，AzureAD 登录页面显示没有对此 IP 的尝试。当我尝试登录 Outlook for Web 时，该 IP 会出现一个条目（并且登录 OfW 成功）。我在不同的租户上用不同的账户测试了这个，它立即在这个热点上工作。

我已经尝试从用户系统、我自己的系统、几个网络和一个已知工作版本的 Outlook 中的新配置文件。同一租户中的所有其他用户都很好。

因此，此用户配置中的某些内容阻止 Outlook 甚至尝试连接到 Exchange Online。这个用户有一堆历史，我也不是私人的，无法找到，在某些时候有应用程序密码和 MFA，但这些已被删除/禁用。直到最近，这一直有效，然后他们的 Windows 桌面被重新安装，现在我们遇到了这个问题。我怀疑可能有人试图解决一个没有被转发的问题，但我不明白是什么。

Microsoft Connectivity Analyzer 顺利通过，正如我所说，同一租户的其他用户工作正常。

关于为什么该用户可能无法进行身份验证的任何想法？

我刚刚在 Docker 中运行 SeaFile，扫描公共接口我可以看到 SSLv3 和 TLS1.0 已启用。我想禁用它们，但我不知道在此设置中的配置位置。

我启动了容器

docker run -d --name seafile \
  -e SEAFILE_SERVER_LETSENCRYPT=true \
  -e SEAFILE_SERVER_HOSTNAME=seafile.example.com \
  -e [email protected] \
  -e SEAFILE_ADMIN_PASSWORD=a_very_secret_password \
  -v /opt/seafile-data:/shared \
  -p 8080:80 \
  -p 8443:443 \
  seafileltd/seafile:latest

它运行 nginx 作为网络服务器，我在 docker 合并文件夹中有 nginx 配置，实际上是 /etc/nginx，但我在任何地方都找不到配置可用密码的选项。

grep -i -r "ssl_protocols" /etc/nginx/返回零结果，经过大量挖掘谷歌结果和一些文档后，我没有进一步前进。

有什么想法吗？

大约 6 小时前，我使用 Office365 管理门户从我们的一位用户那里删除了一个 SMTP 地址。我想将此地址附加到新的共享邮箱。

尝试使用地址创建新邮箱只是给我

Email addresses need to be unique and this one is already being used by the pgreen.

我知道从原始收件人那里删除地址需要一段时间才能传播，但我认为这是以分钟而不是小时来衡量的。当然，在 6 小时后，我希望它会变得清晰，所以现在我想知道我是否做错了什么。

从 O365 powershell 模块检查收件人显示地址不再关联。

删除的地址是来自收件人 pgreen 的 [email protected]。

PS> (get-recipient pgreen).EmailAddresses    smtp:[email protected]
SMTP:[email protected]
SIP:[email protected]
smtp:[email protected]
smtp:[email protected]
smtp:[email protected]

发送到已删除地址 [[email protected]] 的电子邮件被退回，无法投递pgreen wasn't found at somethinggroup.com

我想不出任何其他方法来确定是否/什么/在哪里发生了。这只是等待它的一个案例吗？

客户有一个旧的 MSL6030 磁带库，后面有一对 LTO4 Ultrium 1840 磁带机。两者都失败了。

我们已经采购了相同的替代品（无论如何都是相同的部件号），但无法让图书馆识别它们。我已经安装了 LTT，一切看起来都很棒，直到一位同事指出新驱动器的固件是“B63D/Standalone”，而故障驱动器是“B63W/MSL 库”。

我有 B63W 固件的副本，但我无法获得任何 HP 固件工具来识别需要在此驱动器上安装此固件。

进一步阅读建议该驱动器需要安装到库中，并且库需要推送更新的固件，但是我无法让库识别驱动器（可能是因为独立固件！？）。

我已经创建了固件磁带，但我不明白创建磁带后将固件写回驱动器的机制......惠普有这个详细而有用的页面，但这无济于事。

任何人都知道我是否可以做到这一点，或者我在浪费时间。

我们的一位客户在他的 50 个代理呼叫中心使用托管电话解决方案。他们使用托管拨号器拨打电话，一旦建立连接，呼叫就会传递给我的客户用户，在那里他们在 3CX 电话界面上接听连接。

很标准的东西。

托管公司声称他们看到所有手机都有 100-200 毫秒的延迟。

在测试 TCP 往返[tcping.exe ] 我得到低于 10 毫秒的时间。他们阻止 ICMP。托管服务提供商说这不是一个有效的测试，因为 VOIP 数据是 UDP。

我知道 UDP 的形状可能不同或路由不同，但这似乎不太可能。托管 IT 团队非常“我们有数百名客户，他们的延迟还可以，这是你的问题”，我可以理解，但这对我没有多大帮助。鉴于我无法控制他们身边的 UDP 侦听器，我不知道如何演示 UDP 延迟可能是如何以及从何处进入的。

现场设备是一对连接到 Draytek Vigor 的 Cisco 2960。Draytek 连接到 ISP 提供/管理的 Cisco p887。

在整个通话期间，带宽使用率约为 20%。对外部系统的所有 ICMP 测试都显示出良好的往返行程，通常不会超过 5ms-30ms，具体取决于我要去的地方。

关于如何推进这一点的想法？

我们有一个独立的 2008 R2 服务器，在 ESXi 5.5 上运行，为客户端提供文件共享。

昨晚它神秘地停止允许入站共享访问。我假设它正在阻止/删除 SMB，但问题是，我担心的是，没有记录发生的事情。

随着呼叫开始进入，我能够成功 ping 和 RDP 到服务器。同时，\\SERVER\Share作为域管理员尝试只是在返回共享不可用之前挂起。

一旦我通过 RDP 连接到服务器，一切看起来都很正常：RAM 和 CPU 使用率很低，所有预期的服务都在运行。事件查看器实际上没有显示任何用处，没有错误，只是通常的信息条目和我的 RDP 会话试图映射未知打印机的一些错误。

安全日志，我希望看到大量的“Windows 过滤平台丢弃数据包”，这是我们之前看到的，很清楚，只是通常的登录事件和审计日志。

与其他共享的出站连接很好，简而言之，我看不到任何要修复的东西。

出于绝望，我试图重新启动服务器服务，此时整个盒子冻结了，我不得不按下（虚拟）电源按钮直到它关闭。它恢复正常（感谢上帝）但我很困惑。

我的客户问了一些显而易见的问题，但到目前为止，令人尴尬的是，我无法提供答案。

有什么想法吗？我几乎没有希望回到过去并找到此问题的根本原因，但就此类问题的日志记录或未来测试而言，还有什么可以做的吗？

在尝试回答这个问题时，我遇到了困扰我一段时间的问题，但我一直无法找到答案。

以下脚本块将列出本地管理员组的所有成员的名称。

$group = [ADSI]"WinNT://./Administrators"
@($group.Invoke("Members")) | foreach {$_.GetType().InvokeMember("Name", 'GetProperty', $null, $_, $null)}

但是，它只会列出名称，而不会列出其他属性。

我相当确定Members我可以提取其他属性，但我不明白我将如何确定其他属性是什么。

我不一定需要知道该项目的其他属性，这更多的是我将如何找到它们的问题。

（如果这有点含糊，我深表歉意，我在这一切方面都是自学成才的，我很清楚我可能会在错误的树上吠叫和/或经常犯可怕的错误。）

我在一所学校实施了新的组策略基础结构。在下周上线之前，我正处于整理的最后阶段，但有一件事让我陷入了困境。

正如预期的那样，我已经将学生们排除在大多数有趣的事情之外，但是当他们尝试做一些我限制的事情（WIN+R）时，他们会收到弹出消息：

"This operation has been cancelled due to restrictions in effect on this computer. Please contact your system administrator"

这是预期的行为，因为我已经限制了该操作。

但是，我希望它只是默默地不做任何事情，而不是弹出它（伴随着恼人的哔哔声，我可以想象孩子们在滥用）。

所有客户端机器都在 Windows 7 上，DC 是 2008 R2。域功能级别是咳咳Windows 2000（在你说什么之前它就在待办事项列表中）。

关于如何抑制此警告的任何想法？

客户不久前断电，他们的旧域已经崩溃，我不得不承认我随时待命，有点超出我的深度。通常，我所有常用的备份和回退都不可用。

任何一个 DC 上都没有显示 SYSVOL 或 NETLOGON。没有复制发生。无法针对域对任何内容进行身份验证。

跨两台服务器托管的简单单个林/单个域。功能等级：2000

Server 1 : Accounts-2K  
       Windows 2000 SP4
       DNS
       DHCP
       FSMO : Domain Master
       Simple File Shares
       SQL

.

Server 2 : Barn-SRV
       Windows 2003 SBS
       Exchange
       DNS
       FSMO : RID
              Schema
              PDC
              Infrastructure
       Simple File Shares
       SQL

目前的情况。

我一直在尝试将服务器 1 降级，希望这会消除我在复制方面遇到的突出问题。

两台服务器都不能在任一方向复制。

服务器 1
文件复制日志显示：http ://eventid.net/display.asp?eventid=13559&eventno=657&source=NtFrs&phase=1

DNS 日志显示 http://eventid.net/display.asp?eventid=1004&source=dns

主要（也是唯一）子网的反向查找区域显示错误并且无法显示

错误：http: //i.imgur.com/mF6aKSb.png

这表明存在 DNS 问题，但我不确定这是原因还是症状。我可以尝试重新安装 DNS 吗？

我可以从这台服务器 ping 另一台服务器，ping 到domain.local正确解析到另一台 DC。

服务器 2 日志显示http://www.eventid.net/display.asp?eventid=13508&eventno=349&source=ntfrs&phase=1

这对我来说看起来很有希望。当然它只需要完成那个动作，它就会启动域吗？

DNS 正在显示从其他 DC 枚举的问题，目前出乎意料。

一切都按预期从该服务器发出。有人有什么想法吗？每个人都会很快上班，我希望他们能够工作。

提前致谢。

客户想要一些新的软件。通常情况下，他们在碰巧向 IT 部门提及合同之前就处于签署合同的边缘。

除了客户端/代理软件的所有用户都需要对其本地计算机的“超级用户”权限外，浏览一下技术要求并没有什么特别之处。这将部署在呼叫中心，我不会认为 usres 以与业务其他部分相同的方式“受信任”。

因此我立即对此犹豫不决，但是在 Windows 7 中，高级用户似乎什么都不做。

在 XP 上，它为您提供了“大量访问权限”，我想我不知道它曾经在任何地方使用过。我不得不承认，从 Vista 开始，我什至没有考虑过它。

在 Win 7 机器上检查 secpol.msc，用户权限分配未显示与高级用户相关的任何内容。但是，它的描述会让您相信“包含高级用户是为了向后兼容并拥有有限的管理权限”

有谁知道这些“有限的行政权力”实际上是什么？

Microsoft 似乎没有制作任何文档（我无论如何也找不到）详细说明该组所做的事情，而我能找到的唯一详细的技术描述都可以追溯到 2003/xp 及之前。

我们的一位客户是 1 级 PCI 公司，他们的审计员就我们作为系统管理员和我们的访问权限提出了建议。

我们管理着他们完全基于 Windows 的基础设施，包括大约 700 个桌面/80 个服务器/10 个域控制器。

他们建议我们转移到一个系统，我们有三个独立的账户：

DOMAIN.CO.UK\UserWS  
DOMAIN.CO.UK\UserSRV  
DOMAIN.CO.UK\UserDC  

• 其中WS是仅登录到 WorkStations 的帐户，是 WorkStations 上的本地管理员
• 其中SRV是仅登录到非 DC 服务器的帐户，是服务器上的本地管理员
• 其中DC是仅登录到域控制器的帐户，实际上是域管理员帐户

然后制定策略以防止从错误的帐户登录到错误类型的系统（包括删除非 DC 计算机上域管理员帐户的交互式登录）

这是为了防止受感染的工作站暴露域管理员登录令牌并针对域控制器重新使用该令牌的情况。

这似乎不仅是我们日常运营的一个非常侵入性的政策，而且还需要大量工作来解决相对不太可能的攻击/利用（无论如何这是我的理解，也许我误解了这种利用的可行性） .

我很想听听其他管理员的意见，尤其是那些参与过 PCI 注册公司并且您有类似建议经验的管理员。您关于管理员登录的政策是什么。

作为记录，我们目前有一个我们通常使用的域用户帐户，以及一个我们在需要额外权限时也会提升的域管理员帐户。老实说，我们都有点懒惰，经常只使用域管理员帐户进行日常操作，尽管这在技术上违反了我们公司的政策（我相信你明白！）。

我们尊敬的 IT 主管刚刚向我交付了 3 台计算机。我被告知他们是将在接下来的几周内抵达的另外 120 个的先行者。

目的是在新的联络中心，每个座席将有 3 个屏幕，每个屏幕由单独的计算机*提供支持。Synergy (www.synergy-foss.org) 将用于允许从中央计算机的单个键盘/鼠标组合控制所有三台计算机。

虽然这会起作用，但我真的不希望用户必须登录到三台独立的计算机。我希望登录发生在中间机器上，并且该登录（Active Directory LDAP）“传递”到左侧和右侧机器。

有任何想法吗？

*我知道一台带三个屏幕的电脑实际上在这里更有意义，在我开始行动之前就已经做出了决定。

我们有一个现有的 DFS 复制和命名空间组，用于为公司的文件提供服务。

这对我们来说已经运行良好一段时间了，并且会继续这样做。然而，昨天下午出现的情况让我们感到困惑。

问题是我们的名称空间显示为：
\\domain.co.uk\public\[8 or 9 folders that are mapped to the users in the business]

今天早上我们遇到了一个问题，这意味着许多用户开始将他们的 AD 主驱动器直接映射到\\domain.co.uk\public目录，我们发现他们有读/写。这很快成为一个问题，因为至少有一位主管在其中保存了一些中等敏感的文件，基本上任何人都可以阅读它们。

我已经通过一些灵巧的脚本和对组策略的轻微修改来解决这个特定问题。

但是我想设为\public只读，问题是我无法确定该文件夹的 ACL 所在的位置。

所有显示的文件夹都是\\domain.co.uk\public\[folder]我们 DFS 服务器上逻辑卷上的“真实”文件夹，因此使用通过“安全”选项卡应用的组进行保护。

我想做同样的事情，\public但我找不到。我浏览了其他内容\Sysvol\domain.co.uk，但找不到它，经过大量点击和一些阅读后，我看不出如何锁定它。

有什么想法吗？