TheCleaner's questions

我们正在清理我们的 Windows PKI/CA 环境并用新服务器替换我们的根 CA。当前的根 CA 多年来一直在颁发以下证书模板（除了从属证书模板）：

• Kerberos 身份验证
• 域控制器身份验证（我们知道这已被 Kerberos 身份验证模板取代）
• 域控制器（我们知道现在已被取代）
• 目录电子邮件复制

从属 CA 还具有“已发布”的模板。

我们知道这并不理想，新的根 CA 将被设置为仅颁发从属证书模板。

问题：

在从根CA颁发的上述模板中删除（不删除模板本身，只是将其从该根CA颁发的模板中删除）后，当域控制器自动更新上述证书时，他们是否会知道查看从属CA根据域控制器所需的模板更新/颁发新证书？ 或者我们还需要做些什么来主动向环境中的 DC 颁发新证书？现有证书不会被吊销，因此在重新注册之前它们将一直有效，但我们很好奇如果原始证书是由旧根 CA 颁发的，重新注册是否会失败。我们不确定 DC 是如何“决定”的

附加附加问题：

您知道我们替换 rootCA 后从现有 SubCA 颁发的现有证书会有什么影响吗？我们正在根据以下内容将 rootCA 迁移到一个新名称：逐步将 CA 迁移到新服务器——评论中的其他人基本上问了我关于现有证书的问题，但没有回复。我的猜测是，只要客户端在其受信任的根存储中仍然有旧的 RootCA，在中间存储中仍然有 SubCA，他们应该仍然有一个良好的证书链，直到证书过期，但我想提前知道的时间。

我没有快速的方法在实验室中对此进行测试，也不想在没有至少其他人证实我的怀疑的情况下扰乱生产。

我目前有一个在 esxi 5.1 主机上运行的 vCenter 5.1 VM（和随附的 SQL VM）。我的环境中还有新的 6.5 主机和 6.5 vCenter。

我想将所有虚拟机从 esxi 5.1 主机上迁移出来，但我仍然有依赖于在该主机上运行的 vCenter 5.1 的远程分支机构主机。我需要 vCenter 5.1 继续运行，直到我们可以将远程分支主机升级到 6.5。

我可以将 vCenter 5.1 虚拟机（以及随附的 SQL 虚拟机）迁移到新的 6.5 主机之一（关闭虚拟机、从清单中移除、添加到新 6.5 主机上的清单）吗？我知道我不能动。

我的假设是 6.5 主机会将 vCenter 5.1 虚拟机视为任何其他 Windows 虚拟机，而不关心/知道操作系统上正在运行什么。我不会升级 VM 上的 VMtools。

在 SCCM 2012 R2 (1511) 中，在软件库、软件更新、所有软件更新中。

如果我仅搜索并添加 Windows Server 2012 R2 和关键补丁的标准，则“合规百分比”总是非常高，在 90 年代以上，因为它包括“不需要”资产......其中还包括工作站。

这是设计使然吗？或者这里可以改吗？

令人沮丧的是，Percent Compliant 不应该包括工作站。它扭曲了数字。特定更新的合规百分比应仅基于“合规”、“必需”和“未知”

例如：

假设“更新 X”显示为 3 个资产兼容，97 个需要，2205 个不需要，0 个未知。IMO，“合规百分比”应为 3%。相反，SCCM 会将其显示为 96% 合规，因为它将包含“不需要”的内容。

我可以创建一个报告以将其限定为特定的集合，这将使我获得正确的“百分比兼容”，但也很高兴在“软件库/软件更新”区域中看到它。

还有其他人处理这个吗？依靠报告是我看到正确“百分比合规”的唯一方法吗？有没有办法让它计算这个而不包括“不需要”？

如何通过在 Windows 2008 R2 上运行的现有 KMS 服务器激活 Windows 10 客户端？

现有环境

• 运行 KMS 主机角色的 Windows 2008 R2 Server
• 现有 KMS 密钥是以前设置的 KMS 主机上安装的 Windows 2012 R2（或更低版本）。
• 当前激活适用于服务器上的 Windows 2012 R2 及更低版本，以及客户端上的 Windows 8.1 及更低版本。

期望的结果

• 通过 KMS 主机激活 Windows 10 客户端

我通常会设置比具有共享存储的 2 节点集群更大的集群，但我们已经为少数 VM 的基于硬件的 GPU 构建了一个集群，因此新硬件和仅具有后端共享 SAN 存储的 2 节点集群。

2 台主机有 384GB RAM 和双 10 核处理器。

总 VM 数 = 12，分配的总 vCPU 等于 36 总 VM cpu 利用率约为 5%，每个 35% 内存。

我的问题是：

东道主录取政策是否有偏好或最佳实践？现在我将它设置为“集群容忍 1 台主机故障”，但通常我会为更大的集群设置 cpu/ram 百分比。但是，无论设置如何（25/25、15/15、50/50）我都这样做时，我最终会看到 VM 显示“未受保护”。将其设置回单个主机故障会将它们全部恢复为“受保护”。

仅处理 2 个主机集群时，是否需要考虑 HA 和 DRS 的某些设置？

集群当前在 5.1 上运行，但我认为从那以后选项没有改变。

是的...我知道...Windows 2003 现在已经停产了。

根据 KB 修补程序文章，我正在处理大型环境中的剩余问题，并且我认为有一些与 VSS 相关的问题。我想收集多年来错过的 VSS 汇总，而不是只应用那个单一的修补程序。

出于某种原因，我似乎不记得或找不到如何检查服务器需要哪些 VSS 更新/修补程序。我知道修补程序通常是“在特定情况下需要时部署”，但 Microsoft 提供了一些包含修补程序的 VSS 更新汇总。但是，MS 也很糟糕，它不仅仅发布一个按时间顺序排列的列表，上面写着“这是最新的 VSS 汇总，应用这个”。

有没有办法找出需要将哪些 VSS 汇总应用到服务器而不尝试根据每篇知识库文章检查文件版本？Windows 更新本身似乎没有列出任何 VSS 特定补丁，可能是因为它们被视为修补程序/修补程序汇总。

我对此有点困惑，所以我希望有人能启发我，因为我认为自己是一个知识渊博的 GPO 人。

我有一个登录横幅 GPO，可以更改其中的Interactive Logon:设置Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logon以显示登录横幅。这是该 GPO 所做的唯一事情。

现在，我从Technet和其他在线人那里得到的理解以及我自己过去的经验是，您在应用/链接到域级别的 GPO 中配置它。

但是，在我目前的公司，我们的“LogonMessage GPO”仅应用于/链接到域控制器 OU，而且该 GPO 确实适用于组织中的所有计算机。

例如，我在我的工作站上运行了一个 rsop.msc，它将它显示为该设置的源 GPO，即使我的工作站显然不在域控制器 OU 中。

那么给了什么？为什么将登录横幅 GPO 应用于域控制器 OU 会将其应用于域中的所有计算机？

我们让一个用户运行 robocopy 命令来复制一些文件，但不幸的是用户不小心弄乱了语法。

就像是：

robocopy "\\server1\share\Accounting" \\server1\share\NewAccounting" /E /X /COPYALL /TEE

如果没有在目标目录上正确引用，最终会搞砸 rocobopy 目标，如下所示：

Started : Tue May 05 12:30:00 2015

Source : \\server1\share\Accounting

Dest : \\server1\share\NewAccounting \E \X \COPYALL \TEE\

Files : *.*

这最终会在没有 NTFS 安全性的情况下创建新文件夹“E”、“X”、“COPYALL”、“TEE”。

文件夹安全选项卡显示“请求的安全信息不可用或无法显示”。并且您无法通过 Windows 资源管理器或普通命令行删除文件夹。

有问题的服务器恰好是 EMC Celerra CIFS 服务器。

任何想法如何清理它并删除无效的新目的地？

我们目前在全球范围内全面采用 VSphere 5.1，拥有大约 450 个 Windows 服务器虚拟机。

我们有一个问题，我们在整个组织中都有各种 VM，这些 VM 最终具有过期的 VMware 工具。

在不使用 3rd 方工具或 VCops 或类似工具的情况下，我知道有一种方法可以将每个 VM 设置为在电源循环期间自动升级：

在 PowerCLI 中，我也看到了一种编写脚本的方法来设置所有虚拟机来执行此操作：

$vmConfigSpec = New-Object VMware.Vim.VirtualMachineConfigSpec
$vmConfigSpec.Tools = New-Object VMware.Vim.ToolsConfigInfo
$vmConfigSpec.Tools.ToolsUpgradePolicy = "UpgradeAtPowerCycle"

Get-View -ViewType VirtualMachine | %{
   $_.ReconfigVM($vmConfigSpec)
} 

我的问题在这里：

1. 是否担心更新/升级到 VMWare 工具可能会导致 Windows 客户虚拟机出现问题，超出补丁/安装出错的正常偏执狂？基本上，我问的是在 Windows 服务器客户机上自动更新 VMWare 工具的优点是否大于缺点。
2. 有没有更好的方法来处理我在这里不知道的 VMWare 工具更新/升级？
3. 除了不更新/升级 VMWare 工具的公司政策/管理/安全实践之外，是否存在特定场景？（即已知的东西会坏，等等）

这是我在 ServerFault 上没有看到的一个有趣的问题，我想根据我们关于良好主观问题的规则“讨论”。

我的环境中有大量 Windows 2008/2012 虚拟机在 VMWare 5.1 和 5.5 集群下运行。

NIC 上有一个非常常见的设置，允许您选中/取消选中声明Allow the computer to turn off this device to save power。默认情况下要检查此项。 如果 NIC 未插入并在 Windows 中显示为启用和活动状态（我的理解），这个概念是为了帮助节省电力。编辑：之前实际上是一个不正确的传下来的谎言......这篇知识库文章更好地解释了这个设置的作用：关于网络适配器上的电源管理设置的信息它不会简单地关闭设备，如果有一些空闲时间。

现在我们进入虚拟机世界的一面。

这样的设置是否在 VM 上检查或未检查任何方位？取消选中它似乎很轻率，因为 NIC 不是物理设备，并且无论如何都不会消耗任何实际电力。但是，当 Windows 喜欢相信它是物理设备时，选中该框是否会产生任何负面影响？所有虚拟机都应该选中还是取消选中此框？

我在这里有点盲目，因为我不是 Azure 专家，除了 O365 和 DirSync 之外，我还没有真正搞砸它。

我们有一个用 Ruby on Rails 编写的第 3 方应用程序，他们说下一个版本将支持 SAML，并且可以通过可能与 Azure AD 同步来执行 SSO。他们的云应用托管在 Azure 上。第 3 方还没有对我们说 HOW。他们说他们将把它作为一个 Windows 应用程序发布。我在 Azure 中看到诸如“从库中添加应用程序”之类的东西……这就是我要找的东西吗？

我的问题是，如果托管在 Azure 中，我们现有的 Office 365 附带的 Azure AD 是否允许使用此第 3 方应用程序进行此类 SSO 设置？如果是这样，关于做这样的事情的任何链接或信息？我最终搜索的所有内容都以我回到 DirSync 或类似内容而告终，我知道这不是我正在寻找的 DirSync。

这是我在下面的 Azure AD 门户中所追求的吗？

我们已删除 Office 365 组织中的用户帐户（以及随后的 Exchange Online 邮箱）。

我们认为没有必要将他们的 Outlook OST 内容导出到 PST 文件以进行本地存档。

现在需要恢复他们的邮箱并找到他们在帐户被删除之前收到的一些电子邮件。

此时我们有哪些选项可以恢复邮箱？

我需要审核每个用户安装的 Office 安装数量以及安装 Office Pro Plus 的计算机名称。

过去我从来没有注意到一个地方可以运行这样的报告，但我想可能会有一个。令我惊讶的是，我在管理门户中找不到任何东西。

然后我看到了这篇博文：管理 Office 365 ProPlus 安装：激活、停用和重新激活，这证实了我的挫败感：

只有登录的用户才能看到此信息。 即使您是您组织的 Office 365 订阅的管理员，您也无法在任何 Office 365 管理视图中看到此信息。这也意味着您无法停用用户在特定计算机上安装的 Office。

我非常了解 Office Pro Plus 激活/到期如何在 Office 365 上工作：

当用户从 Office 365 门户在计算机上安装 Office 时，如果用户尚未在其他五台计算机上安装和激活 Office，则会自动激活 Office。激活 Office 安装后，Office 365 门户中的软件页面将更新为安装 Office 的计算机的名称。

每天或每次启动 Office 365 专业增强版应用程序时，它都会检查个人安装或帐户是否已停用。计算机需要至少每 30 天连接一次互联网，以便进行此项检查。如果计算机在 30 天内未连接到 Internet，Office 将最终进入缩减功能模式。在缩减功能模式下，用户将只能打开和查看现有的 Office 文件，但不能使用应用程序的大多数其他功能。

但是，除了让他们通过门户登录向我展示之外，我似乎找不到任何报告每个用户的 Office 安装/激活的方法。

所以，我对此并没有抱太大希望，但也许那里的 MS Office 365 合作伙伴/供应商之一已经设法创建了一些东西来收集这些信息？

PS 我也会开一张 O365 支持的票来问他们……但这似乎应该记录在 ServerFault 上，供其他人参考。

在 Office 365 中，您可以切换一些设置来帮助过滤垃圾邮件。

其中包括启用“敏感词列表”的设置，如下所示：

问题是……我在 Technet 或其他在线网站上找不到任何显示该列表实际包含的内容的列表。它不可编辑，也无法通过 Exchange Online 的 Powershell 访问。

我什至冒昧地认为这个列表是从 Forefront 结转的，但仍然找不到实际的列表。

那么……有人真的知道这个列表中包含什么吗？

我们的用户使用的是 Office 365 (Exchange Online)，因此我希望这也适用于使用 Exchange 2013 的用户，但我无法验证这一点。

我以前从未遇到过这种情况，这次在线搜索并没有产生有用的结果（我会先说，如果你在这里环顾四周，我对 Exchange 非常了解，所以没有 VTCing 作为“最低限度的理解” Wesley 或绝望的N00b！）。

这是正在发生的事情：

在“已删除邮件”文件夹中查看用户的 OWA，默认情况下不会出现已删除的联系人。只有一些电子邮件。

但是，如果我按如下所示进行搜索，则会出现已删除的联系人：

1. 已搜索用户
2. 请注意，搜索是针对当前文件夹（已删除项目）
3. 请注意，它确实找到了联系人
4. ...并在右侧窗格中显示完整的联系方式

但是，没有办法真正恢复它。我无法右键单击它，也无法将其拖放到“人物”（联系人）中。

那里的任何人都知道通过 OWA for Office 365 恢复已删除联系人的正确方法（不诉诸 Outlook）（我认为其外观/感觉/功能与 OWA 2013 相同）？

我在 ServerFault 上发现了一些暗示这个主题的问题，虽然它可能有点基于意见，但我认为它可以根据以下内容属于“良好的主观”类别：

建设性主观问题：

* tend to have long, not short, answers
* have a constructive, fair, and impartial tone
* invite sharing experiences over opinions
* insist that opinion be backed up with facts and references
* are more than just mindless social fun

所以不碍事。

我正在帮助一位正在更换运行 Windows 2003 的旧物理服务器的系统管理员同事，他不仅希望更换硬件，而且希望在此过程中“升级”到 2012 R2。

在我们关于他的替换硬件的讨论中，我们讨论了他安装 ESXi，然后将 2012 年“服务器”作为 VM 并将旧应用程序/文件/角色从 2003 年服务器迁移到 VM 而不是非 VM 安装的可能性在新硬件上。

在接下来的几年里，他认为不需要将其他任何东西转移到 VM 或创建额外的 VM，因此最终这将是运行正常安装的新硬件或在 ESXi 上运行单个 VM 的新硬件。

我自己的经验仍然倾向于使用虚拟机，除了创建额外虚拟机的可能性之外，没有真正令人信服的理由这样做。但是现在虚拟机管理程序有额外的开销和管理方面，尽管我已经体验了更好的管理功能和虚拟机报告功能。

因此，在希望这可以保留在“良好的主观”类别中以在未来帮助他人的前提下，您必须提供哪些经验/事实/参考/建设性答案来帮助支持任一结果（虚拟化或不是单个“服务器”） ?

这些年来我已经运行chkdsk /F了很多次......今天我不得不在我的 2008 R2 服务器之一上运行它，我得到了正常的消息：

Chkdsk 无法运行，因为该卷正被另一个进程使用。您想安排在下次系统重新启动时检查此卷吗？（是/否）是

下次系统重新启动时将检查此卷。

我在这里查看了 Technet 文档：http ://technet.microsoft.com/en-us/library/cc730714.aspx以及正常的谷歌搜索和在谷歌上的 Technet 和 site:microsoft.com 上的搜索，但可以找不到我要找的东西...

问题：

Windows如何/在哪里安排重新启动？它不在 Task Scheduler 或 RunOnce 或类似程序中，如果它需要在 Windows 锁定卷之前运行，这是有道理的......所以 Windows 究竟在哪里设置了这个“计划任务”，以便服务器知道它甚至一周后在维护窗口重新启动期间？

从这个问题中分拆出来：我真的需要 MS Active Directory 吗？2014年的新方向。

考虑到基本的 Windows 基础架构：

• 域控制器
• 交换 2007/2010/2013
• 共享点
• SQL
• 文件服务器/打印服务器
• AD 集成 DNS
• AD 认证的第 3 方设备（比如说 802.1X 用于网络，可能还有一些内容过滤等）
• AD/LDAP 在 IT 应用程序/硬件/等上经过身份验证的“管理”功能。
• 也许是一些 KMS 的东西
• 如果您愿意，请加入 CA
• 本土应用
• 第 3 方内部应用程序

现在，让我们把它全部撕掉并决定我们要去云端。我们已签约将 Exchange/Sharepoint/File Services 迁移到 Office 365。SQL 现在也将托管在 Azure 之类的东西上。我们已经摆脱了对 AD-DNS 的需求，只需通过一个简单的 Windows DNS 服务器即可运行一切。我们仍然需要 802.1X，如果可能的话，我们希望对我们的各种云应用程序进行 SSO。本土和第 3 方内部应用程序可能会保留，但能够使用内部用户数据库而不是 AD 身份验证

问题是……我们真的需要 Active Directory 吗？

或者更重要的是，AD 是本地部署的，甚至是通过 Azure 或类似 (ADFS) 托管的，或者通过 Azure 或类似在托管 VM 上运行 ADDS。我们可以/是否应该寻找其他东西，例如 3rd 方 SSO 选项，例如http://www.onelogin.com/partners/app-partners/office-365/或类似的可以提供 SSO 功能的东西，即使它很简单每个用户的 LastPass 或类似的？

如果其他一切都在云中，AD 可以满足什么样的合法需求？

如果以 MS 为中心的基础架构将以前依赖 AD 的所有内容转移到不依赖 AD 身份验证的 SaaS 产品上，他们是否可以完全没有 AD？

警告，前面有主观问题！但希望一个不会被关闭的好。

设想：

我有一个分支机构，目前没有本地服务器。他们通过 12Mbps WAN 链路 (MPLS) 访问包括 DC 在内的所有内容。链路未饱和，平均利用率约为 20%。该电路非常稳定，具有高 SLA 和出色的正常运行时间。

但是，通过 WAN 从文件服务器传输大文件（主要是读取，而不是写入）可能会很慢。我们目前不使用 DFS。

研究完成：

我知道 WAN 加速，例如使用专用硬件 (Riverbed) 或专用软件 VM (Silver Peak)。但定价超出了我们当前的预算，从我们的角度来看，需求还没有完全满足（因为问题主要是在“拉动”场景中，不一定是推/拉）。

我主要考虑在这个分支机构部署 Windows 服务器并使用 DFS-R 或 BranchCache。查看表比较并假设我们正在查看“托管分支缓存服务器”而不是简单地分发：

即使两者都“托管”在服务器上，两者似乎都有好处。

我实际遇到的问题：

• 这些技术中的每一个在什么情况下都会发光，你在哪里选择一个而不是另一个？
• 查看托管的 Branchcache 服务器，您是否可以在中央文件服务器上设置某些文件夹/文件的“预取”，以便在分支本地立即访问它们？您是否必须按计划执行此操作（如果可能）？
• 看着 DFS-R，我担心（并且显然通过 3rd 方应用程序解决了）是文件锁定并确保文件在写入操作期间得到正确更新（即，确保两个副本都被访问并且都被写入，哪个文件需要优先级以及更改会发生什么？）。理想的情况似乎是锁定数据的任何备用副本，但这真的有那么大的问题吗？
• Branchcache 是否锁定中央文件以进行编辑？
• 分支缓存是否仅将增量传输回已更改的中央文件？
• 如果分支办公室服务器也将用作域控制器，是否会不建议使用任何一种技术？

设想

将其简化为最简单的示例：

我有一个具有 DHCP 服务器角色的 Windows 2008 R2 标准 DC​​。它通过各种 IPv4 范围分发 IP，没有问题。

我想要什么

每当设备获得 DHCP 地址租约并且该设备不是Active Directory 中加入域的计算机时，我想要一种创建通知/事件日志条目/类似的方法。是否是自定义 Powershell 等对我来说并不重要。

底线 =我想要一种方法来知道非域设备何时在网络上而不使用 802.1X。 我知道这不会考虑静态 IP 设备。我确实有可以扫描网络并查找设备的监控软件，但它的细节并不是那么精细。

研究完成/考虑的选项

我看不到内置日志记录的任何此类可能性。

是的，我知道 802.1X 并且有能力在这个位置长期实施它，但我们离这样的项目还有一段时间，虽然这可以解决网络身份验证问题，但这对我在外面仍然有帮助802.1X 目标。

我四处寻找一些可能被证明有用的脚本位等，但我发现的东西让我相信我的 google-fu 目前让我失望了。

我相信下面的逻辑是合理的（假设没有一些现有的解决方案）：

1. 设备收到 DHCP 地址
2. 记录事件日志条目（DHCP 审核日志中的事件 ID 10 应该可以工作（因为我最感兴趣的是新租约，而不是续订）：http ://technet.microsoft.com/en-us/library /dd759178.aspx )
3. 在这一点上，某种脚本可能必须接管下面剩余的“步骤”。
4. 以某种方式查询这些事件 ID 10 的这个 DHCP 日志（我很想推，但我猜拉是这里唯一的办法）
5. 解析查询以获取分配新租约的设备名称
6. 在 AD 中查询设备名称
7. 如果在 AD 中找不到，请发送通知电子邮件

如果有人对如何正确执行此操作有任何想法，我将不胜感激。我不是在寻找“给我代码”，而是想知道是否有上述列表的替代品，或者我是否想清楚并且存在另一种收集此信息的方法。如果您有想要共享的代码片段/PS 命令来帮助完成此任务，那就更好了。