Omnomnomnom's questions

我目前正在我们的组织中设置一个新的内部 Windows PKI 基础结构，以替换旧设置。

一切都很好，但 OCSP 位置在 pkiview 控制台中的状态为“错误”。当我使用 certutil（certutil -URL test-certificate.cer或certutil -urlfetch -verify test-certificate.cer）检查证书时，它显示为已验证。所以响应者似乎确实有效。

有谁知道为什么错误状态可能会出现在 pkiview 中？或者在哪里可以找到有关此错误的相关日志？

有关设置的更多信息：

• 正如您在图像中看到的，它是一个两层 PKI，具有一个离线根 CA 和一个加入域的发布 CA。
• AIA 和 CDP 位置位于两个基于 Ubuntu 的 Nginx 服务器上，keepalived 用于 HA 目的。
• Nginx 服务器上的脚本每 15 分钟从颁发 CA 获取新的 CRL。
• 相同的两台 Ubuntu 服务器有第二个 Nginx 服务器块，它运行负载均衡器将 ocsp 请求定向到两个 ocsp 响应服务器。这样，证书可以只包含一个 ocsp url，当一个 ocsp 响应者关闭时，客户端不必等待超时。

在谷歌搜索问题时，我发现这可能是由于 CA-Exchange certificate 陈旧。但更新并没有帮助。

更新

我用 Wireshark 对此进行了测试，在启动 pkiview 时，实际上没有发出 ocsp 请求。运行certutil -URL test-certificate.cer时，Wireshark 清楚地显示了 ocsp 请求和响应。

最近，我在我们的 SCCM 环境中添加了一个云分发点和云管理网关。设置似乎运行良好，互联网客户获得他们的政策，可以安装软件等......

我们还希望允许 Internet 客户端通过任务序列执行 Windows 10 功能更新。该任务序列适用于 Intranet 客户端。但是当一个互联网客户端尝试启动TS时，它无法下载相关的操作系统升级包。

引用的应用程序包被下载到缓存中，但当客户端尝试下载升级包时，cas.log 显示“未找到匹配的 DP 位置”。对于该包 ID，下载保持在 0%。

包分发到云DP。我将部署设置为“允许此任务序列在 Internet 上为客户端运行”和“在启动任务序列之前在本地下载所有内容”，因为文档指出这是必需的。还启用了预下载，但我不知道这在这种情况下是否有任何不同。客户端缓存也足够大。

客户端似乎没有将云 DP 视为下载升级包的有效位置。

有谁知道我可能会错过什么？或者我可以在哪些日志中找到可能有问题的地方？

SCCM 的版本是 1802。客户端运行的是 Windows 10 Enterprise 1709，我们正在尝试升级到 1803。

情况

在我们的组织中，我创建了一个创建计划任务的 GPO。此任务在两个用户帐户登录时触发。

它执行一个 powershell 脚本来更改网络连接的 DNS 服务器。（使用 dnsmasq 为这些用户屏蔽一些网站。我知道这不是一个防弹的解决方案，但它已经足够好了。）

计划任务的操作是以下命令：

C:\Windows\System32\WindowsPowerShell\v1.0\Powershell.exe

这些是参数：

-ExecutionPolicy Bypass –NoProfile –Command "& {C:\ProgramData\ORGNAME\scripts\SetDNS.ps1}" > C:\ProgramData\ORGNAME\scripts\SetDNS.log

如您所见，输出被发送到日志文件。

这是脚本的内容：

$wmi = get-wmiobject Win32_NetworkAdapterConfiguration -filter "ipenabled = 'true'"
foreach($adapter in $wmi)
{
    if($adapter.description -NotLike "*VMware*")
    {
        $adapter.SetDNSServerSearchOrder("XXX.XXX.XXX.XXX")
    }
}

invoke-expression -command "c:\windows\system32\ipconfig /flushdns"

问题

问题是这工作正常，大约 10 次中有 9 次。当它不起作用时，任务调度程序仍然报告退出代码 0，但似乎脚本甚至没有开始执行，因为没有任何反应并且没有创建日志文件。

一些额外的信息

• 任务在SYSTEM账户下运行
• 它以最高权限运行
• 当任务按需运行时，它工作正常
• 所有计算机都运行 Windows 7 企业版 (x64)

我尝试过的一些事情

• 我想也许任务调度程序触发脚本的速度太快了，有些事情可能还没有初始化，所以我尝试设置一个 30 秒的延迟。

• 每 5 分钟重新运行一次任务，持续 15 分钟。

• 失败时重新启动任务，这显然不起作用，因为powershell.exe似乎返回错误代码0。

问题

最近，由于合并，我们组织的计算机转移到了一个新的 AD 域。我们在让客户端在我们的 AD 集成 DNS 中动态注册其 DNS 记录时遇到问题。

当在客户端（ipconfig /registerdns）上手动触发注册时，一切正常。您可以看到在wireshark中发生的注册过程，如下所述：https ://technet.microsoft.com/en-us/library/cc771255.aspx

然而，似乎只有大约 50% 的客户自己这样做。另一方面，这个过程似乎没有触发。即使上述文章中提到的事件（例如启动时）应该会导致客户端向 DNS 服务器注册其 A 记录。

我有 tcpdump 不断从一组出现此问题的桌面捕获流量。在这些转储中，我找不到受影响计算机的任何注册尝试。

关于我们环境的一些注意事项

• 客户端从旧域中的两个 DHCP 服务器获取它们的 DHCP 地址。
• 客户端被告知使用的 DNS 服务器（选项 006）也是旧的域控制器。但是新域的 DNS 请求使用条件转发转发到新的 DC。
• 对于新域，允许更新。（仅限安全）
• DHCP 提供的连接后缀（选项 015）仍然是旧域。但是我们有一个通过 GPO 部署的后缀列表，新域后缀位于列表的首位。
• 新的 AD 域有三个域控制器，其中两个也是 DNS 服务器。

我们尝试过的东西

对于其中一个 DHCP 范围，我们将连接后缀设置为新域，并将 DNS 服务器设置为新域控制器。这似乎没有什么不同。

这似乎是一篇关于这个主题的有趣帖子：http: //blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns-updates-registration-rules-of-engagement/ 但大多数事情提到有顺序。除了在新域控制器上禁用 IPv6 的事实。

更多信息以回应 Craig620 的回答

• DNS 服务器运行的是 Windows server 2012 R2，客户端都是 Windows 7，DHCP 服务器运行的是 server 2008 R2。
• 所有客户端都加入同一个域（合并后的新域），问题仅发生在该域中。
• 没有具有静态 IP 地址的客户端。
• 我们没有将客户从旧域转移到新域的过程中。我们对一些客户进行了此操作，但有问题的计算机没有移动。它们已在新域中使用 SCCM 进行部署。
• 我找不到有问题的 50% 和其他系统之间的显着差异。例如：同一个教室里的一些电脑有问题，其他的没有。它们通常运行相同的软件、更新等。并且连接到网络的同一部分。硬件也一样。我能想到的区别是他们正在尝试联系另一个域控制器，但我看不到任何这样做的尝试。
• 这个问题已经持续了几个星期，所以计算机应该有足够的时间来注册自己。
• 客户端似乎没有查询区域 SOA。旧域和新域的区域名称不相似。（例如，旧域的 green.local 和新域的 int.blue.com）
• 我有一个用于 DNS 后缀搜索列表的 GPO。这是一个列表，首先包含新的 AD 域，然后是不同合并组织的旧域。这是唯一与 DNS 相关的 GPO。但我会更彻底地检查这一点。

在工作中，我们有一个 ESX 4.1 集群，在每台主机的 vswitch 上配置了一些 vlan（端口组）。许多这些端口组不再使用，因此我们决定清理它们。

我们没有分布式 vswitch，因此必须在每台主机上删除每个端口组。这在大多数情况下都可以正常工作。但是我们有一组拒绝被删除。它返回以下错误：“无法删除端口组“VLAN-XXXX”，原因如下：1 个活动端口”

我们已尝试通过 vCenter 控制台以及使用 esxcfg-vswitch 命令将其删除。结果相同。

我们多次检查主机上的虚拟机都没有使用端口组。所以我认为它不应该是活跃的。

当我们使用 esxcfg-vswitch -l 检查 vswitch 时，输出显示该端口组中的一个端口确实在使用中。有谁知道如何摆脱这个使用过的端口？

在我们的 Active Directory 域中，某个用户帐户发生了一些奇怪的事情：

在该用户对象的安全权限中，“包括来自该对象父对象的可继承权限”标志一直处于禁用状态。这会给该用户带来一些问题。

如果管理员启用它，几个小时后它会再次被禁用。所以我们启用了对该用户对象的审计，以查看谁或什么在做这件事。

审计工作：如果我手动选中或取消选中该用户的标志，则会在域控制器的安全日志中创建一个条目，说明目录服务对象已被修改等，...

但是，它不会记录禁用标志的神秘过程。当我启用该标志时，它会记录在审核日志中。但几个小时后，它再次被禁用，审计日志什么也没有显示。

所以我很困惑。是否有任何进程或用户帐户可以修改 AD 对象而不显示在审核日志中？

我最近在我的工作场所设置了一个新的 SCCM 2012 环境，现在我们正在创建用于分发的应用程序。

一些应用程序是使用脚本设置的。在测试期间，有些地方不对，需要更改应用程序的内容。分发点继续为客户端提供旧内容。

我想知道当应用程序的内容发生变化时更新 DP 的正确程序是什么。我曾尝试重新分发到分发点并删除旧版本，但无济于事。