我在我的 DC 之间遇到 kerberos preauth 失败 - 事件 4771。我认为这是正常行为(它已经发生了多年,因为我启用了额外的日志记录),但我找不到任何关于它为什么发生的解释。
几点注意事项:
WENDEL到域控制器发生STEVE STEVE过WENDEL。STEVE确实拥有 FSMO 角色。所有活动都有相同的门票详细信息。
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
我已经完成了通常的 dcdiag 作为健全性检查,没有任何异常。
使用此处和此处概述的 1809 用户字体支持,我过去用于管理字体安装的方法不再起作用,而是仅为运行安装的特定帐户安装字体。
这是一个非常标准的 PS 脚本,基于 powershell 库中的一个。
$ShellAppFontNamespace = 0x14
...
$ShellApp = New-Object -ComObject Shell.Application
$FontsFolder = $ShellApp.NameSpace($ShellAppFontNamespace)
foreach ($Font in $Fonts) {
Write-Host ('Installing font: {0}' -f $Font.BaseName)
$FontsFolder.CopyHere($Font.FullName)
break
}
我需要设置一些特定的 copyhere 标志来指示这是一个系统范围的命令吗?就目前而言,它看起来完全没有记录。
编辑:
我认为这正确指向 C:\Windows\Fonts 文件夹。
PS C:\WINDOWS\system32> $FontsFolder.Self
Application : System.__ComObject
Parent : System.__ComObject
Name : Fonts
Path : C:\Windows\Fonts
GetLink :
...
我在我的主域上使用 O365/Outlook example.com。我有一个子域intl.example.com,它实际上是一个单独的业务实体。
配置为独立 G Suite 的国际域。问题是我想从我的[email protected]地址发送某些东西到[email protected]。
问题是收件人需要 Microsoft 帐户才能登录这些资源。尝试注册时,我收到传统的“您不能使用工作或学校电子邮件地址在这里注册。使用个人电子邮件,例如 Gmail 或 Yahoo!”。这些电子邮件地址不属于 Azure AD,以后也不会。我可以将此子域标记为明确不属于 Azure AD 的一部分吗?从 2016 年开始,我看到了一些与此问题相关的文档,但没有任何具体内容或解决方案。
我正在部署 Windows 10 并希望使用 LayoutModification.xml 来配置 taskbar。部署完美运行并进行了我的更改,但用户无法在不需要时删除这些固定项目。我该如何允许?
<LayoutModificationTemplate
xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
Version="1">
....
<CustomTaskbarLayoutCollection PinListPlacement="Replace" >
<defaultlayout:TaskbarLayout>
<taskbar:TaskbarPinList>
<taskbar:UWA AppUserModelID="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
<taskbar:DesktopApp DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\File Explorer.lnk" />
<taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\xxxxlnk" />
</taskbar:TaskbarPinList>
</defaultlayout:TaskbarLayout>
</CustomTaskbarLayoutCollection>
</LayoutModificationTemplate>
编辑:
这发生在 Win10 1703 上。
我在想它可能只是一些 NTFS 权限,但是使用新的配置文件部署方法,这个 LayoutModification.xml 文件仅在创建时从默认用户复制到本地用户配置文件。在标准用户配置文件(具有标准用户权限)中,如果我在他们的 LayoutModification.xml 副本上编辑固定项目,它就会消失。这是一种解决方法,但不是真正的修复。
我正在将反向代理配置从 Apache 移动到 IIS。其中一些站点在继续之前需要在代理上进行身份验证。为简单起见,它们位于单独的 IIS 站点上。如何指定此站点和/或我在其中配置的反向代理可由特定 AD 组使用?
我试过的:
以下是在 IIS 中仅启用 Windows 身份验证的情况下完成的。都是 Server 2016 / IIS 10。
将托管反向代理站点的文件夹上的 NTFS 权限设置为仅domain\desiredgroup和proxy\iis_iusrs组,但这没有帮助 - 它仍然允许任何domain\domain users通过。
编辑domain\desiredgroup具有访问权限和domain\domain users被拒绝的身份验证规则。这阻止了所有人。
我想在由 Puppet 管理的 Linux 系统上设置一个环境变量,以包含当前正在运行的分支的名称 puppet's $environment。它需要是来自任何地方和系统的任何用户的系统级变量 - 如果可能的话,我试图避免任何类型的文件系统错误。
基本上我希望能够在其他代码中读取此变量并将其包含在它创建的日志中。
理想情况下,我正在寻找一个跨平台的答案,但特定于 CentOS / RedHat 将是一个很好的开始。
编辑:我想避免在 /etc/ 下有一些随机文件,每次我在日志中写一行时都需要读取这些文件。
我在发布后不久就考虑过使用 profile.d。问题是很多服务不加载配置文件,即使我确实使用了片段,如果我进行更改,它也需要重新读取配置文件。
这应该很容易找到。我想根据我定义的变量在 SCCM 中为几个任务步骤设置一个条件。在此处的值中使用的正确通配符是什么?我希望避免需要走 wmi 搜索路线,因为这将使其他人更容易维护。
这些是基于文本的,我只想像下面这样解析它。
OSDComputerName like "Secure%Machine"
OSDComputerName like "Secure*Machine"
我有多个互联网提供商。对于我的 Azure 实例,我希望能够为每个实例定义一个具有相同地址空间的本地网络网关,以便在发生故障时可以轻松地在它们之间切换。
这样做是否安全/可能?我担心这些对象可用于 Azure 侧的路由,并最终导致拆分路由。
我正在对 PCI-DSS 进行一些审核,特别是“审核目录服务访问”。这会创建大量日志,主要基于以相同方式访问的几个特定的重复属性。
我已经能够通过 TechNet 识别这些属性。我遇到的问题在 AD 用户和计算机的审核 UI 中均不可见。
我在想我可以在 adsiedit 中编辑架构设置并禁用继承?这似乎违反直觉,但它应该有效。
我有一个运行 FortiOS 5.4.x 的 Fortigate 产品,但我无法缓解Sweet32 漏洞。
我已经为 Beast & Crime 启用了高安全性算法并禁用了 SSL3 / TLS1.0,如下所示。
config system global
set strong-crypto enable
end
config vpn ssl setting
set sslv3 disable
set tls1-0 disable
我该如何解决这个问题?
我正在考虑从 Publicaster 迁移一些与电子邮件相关的服务。查看描述使用 365 作为经过身份验证的中继的MS Technet,每天的限制为 10K,每秒 30 条消息。
如果我们选择这样做,这将如何影响日常运营?我们是否需要让我们的开发人员批量处理消息?这些批量消息是否会与我们的用户在同一个队列中,从而减慢他们的接收速度?
在 DMZ 中的新 Azure 2012r2 盒子上,我无法让 WMI 查询与 FQDN 参考一起使用。这些查询从本地计算机运行,但需要通过 FQDN 引用它才能与我们的监控解决方案一起使用。
它与“访问被拒绝”出错。主机名、公共 IP、环回都可以正常工作。我该如何解决?
$objSWbemLocator = New-Object -comobject WbemScripting.SWbemLocator
$objSWbemServices = $objSWbemLocator.ConnectServer("passport.external.mydomain.org") <-- Broken
$objSWbemServices = $objSWbemLocator.ConnectServer("passport")
$objSWbemServices = $objSWbemLocator.ConnectServer("127.0.0.1")
$objSWbemServices = $objSWbemLocator.ConnectServer("10.15.14.7")
我做了一些挖掘,看起来我遇到了与这些 WMI 问题相对应的网络登录失败。它略有不同 - 取决于我是否passport.external.mydomain.org在环回地址上添加了 HOSTS 文件 - 但它始终是登录类型 3(网络),状态为 0xC000006D(错误的用户名或身份验证信息)。
所以我们终于硬着头皮开始在我们的桌面上使用 UEFI。它非常适合我们的 Hyper V 映像——我们可以整天创建第 2 代虚拟机。在我们需要重新成像之前,这是真的。如何将具有现有操作系统的第 2 代 VM 设置为从 PXE 启动?
对于我的一生,我无法更改引导顺序以允许我从网络引导。在系统设置下的固件界面中,它只列出了 Windows 启动管理器。每次我们想尝试新的映像变体时,都必须删除和重新创建虚拟机,这既痛苦又缓慢。我们该如何解决这个问题?我猜我需要用 Powershell 编辑的 VM 中有一些隐藏的标志,但是缺少文档。
我在我们的主要内部 MS DNS 服务器下有许多带有子域的项目。
其中一些 - 例如“项目”显示为单独的顶级正向查找区域,其他例如“QA”和安全 QA。显示为主域的子域,如图所示。
这两者有什么区别,我该如何在它们之间移动?
我想在 Abila MIP Fund Accounting 中为我的所有用户设置默认位置。看起来 UI 中没有地方可以更改它,而且 Abila 知识库文章也没有提供任何见解。
我从我的 Apache 反向代理中得到了我不太了解的行为。
我有一个后端服务器,它app_offline.htm在某些过程中使用返回 503。
发生这种情况时,我收到一个传统的 Apache 403 错误:
You don't have permission to access / on this server.
Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
如果我的后端服务器不可用并且 mod_proxy 无法连接,我确实看到了我的自定义错误屏幕,但是一个通用的 503 .. 我猜我需要将 503 从 mod_proxy 传递回 Apache 进行处理,但我不知道怎么做。
在 Azure 中,一个虚拟网络是否可以有两个网关,一个用于基于策略的设备,另一个用于基于路由的设备?如果是这样,怎么做?
至于我问的原因:我需要连接托管数据中心中的旧网络,该网络仅提供静态的 Cisco VPN 隧道。现在我无法进行 vnet 到 vnet 的连接。
这应该是基本的,但我很难找到答案。
我正在演示 VMware 的 SRM。
安装很好,我可以轻松地为单台机器运行还原。
我正在为单个应用程序开发一个恢复脚本,该脚本分布在大约 10 个服务器、几个 sql 服务器、几个应用程序服务器、一个客户端访问机器等中。
优先级组完全按照应有的方式定义,我不需要添加任何组内定义。
当我测试我的恢复计划时,我看到优先级 1 的虚拟机首先启动,优先级 2 根本没有启动,并且一些 - 大约一半 - 优先级 3 的虚拟机启动。看起来事情最终会继续发展,仍然使用这种奇怪的顺序。这里到底发生了什么?是否与 SRM 更改 IP 地址的方法有关?硬件版本和/或 VMware Tools 中有什么东西?
所有 ESXi 主机和 vSphere 都是 5.5。我正在使用 vSphere 复制和 SRM 5.8.1。
我一直在使用 SCCM 2012 设置滚动更新计划。我更喜欢使用“添加到现有软件更新组”选项。
我遇到的问题是我不确定这是否会重置现有软件更新组中已包含的任何更新的截止日期。如果我的计时器只是因为添加了一些新东西而被重置,那将是一件痛苦的事情。
换一种方式:
部署计划/截止日期行为是由单个更新决定的,还是基于整个软件更新组完成的?
我正在使用 SCCM 服务器,并且我有许多针对特定计划的不同计算机的自动部署规则。
所有这些 ADR 都使用几乎相同的选择参数——需求数量、更新分类等。他们还会更新同一个包,并且不会创建新版本。
使用在所有这些任务之间共享的单个部署包或单独设置它们会更好地为我服务吗?如果我使用单个序列,是否应该进行任何调整以避免不必要的网络流量?