我有一个新安装的 Windows Server 2016 远程桌面服务器,我正在尝试为其生成证书。具体来说,我认为我需要为“RD Connection Broker - Publishing”角色服务配置证书。
我可以找到的所有 Microsoft 文档和大多数第三方内容似乎都假定证书将是自签名的或使用 Microsoft 证书颁发机构服务在内部生成的。我想要的是一个由合适的第三方公共证书颁发机构签名的证书,以便在所有 Windows 机器上默认信任它。
部署属性向导无法生成证书请求,因此您需要使用证书 MMC 管理单元(或 IIS,但我没有安装它)。不幸的是,Certificates 管理单元对用户不是很友好,如何进行也不明显。
如何使用证书管理单元生成适合“RD 连接代理 - 发布”角色服务的证书请求?
我正在安装一个新的 Windows 2012 R2 服务器,我想在将它放到网络上之前更新它,但是 2019 年 8 月的累积更新和最新的服务堆栈更新都不会安装。
您需要安装哪些更新顺序才能将 Windows 2012 R2 从基本安装带到最新的累积更新?
我刚刚安装了 Windows 2016,并正在尝试安装更新。出于安全原因,我尝试在将新服务器连接到网络之前安装最新的累积更新。
我已从 Microsoft 更新目录下载 KB4507459(2019 年 7 月累积更新),但无法安装;错误消息显示“更新不适用于您的计算机。”
这是为什么?如何在不将服务器连接到网络的情况下安装最新的累积更新?
我正在尝试使用组策略设置“交互式登录:尝试登录的用户的消息文本”,但我无法正确设置消息格式;一按应用,我的段落中断(即空白行)就会消失。
我发现了使用 ALT-255(不间断空格)作为不可见字符的建议,起初似乎可以工作,但导致消息在客户端上显示时被截断。
我喜欢我的空白行。我怎样才能让他们留在原地?
为了运行第三方 WSUS 脚本(针对 Windows 内部数据库),我下载了 x64 版本的Microsoft Command Line Utilities 14 for SQL Server,但是当我尝试安装时,我收到以下错误消息:
安装程序缺少安装先决条件:Microsoft ODBC Driver 11 for SQL Server。若要继续,请安装 Microsoft ODBC Driver 11 for SQL Server,然后再次运行安装操作。
按照说明安装 ODBC 驱动程序(从此页面下载)无效,尝试安装命令行实用程序时仍然收到相同的错误消息。
此外,虽然我在运行安装程序时确实下载了“Microsoft Command Line Utilities 14 for SQL Server”,但它的标题是“Microsoft Command Line Utilities 13 for SQL Server”。
(强调我的。)
这到底是怎么回事,我怎样才能成功安装最新版本的命令行实用程序?
将 Java 升级到版本 8u171 后,我的 Dell BMC 的 Web 界面提供的 Java KVM 客户端停止工作。唯一的错误消息是“连接失败”。
我在 PowerEdge C6220 上使用 BMC,但其他型号也可能会受到影响。
发生了什么事,我该如何解决?
在组策略管理控制台中,我尝试委派“链接 GPO”权限,但在选择要委派访问权限的组和“此容器和所有子容器”选项后,我收到错误消息“请求是不支持”。
这是Microsoft 论坛上相同错误的屏幕截图。在这种情况下,用户正试图删除委托。
是什么导致了这个错误,如何解决这个问题?
在 Windows 10 中,Windows 更新客户端使用事件跟踪,而不是像在以前的 Windows 版本中那样写入文本文件。这会使客户端机器的故障排除变得困难。
Get-WindowsUpdateLog cmdlet 并不总是有效。特别是,当远程运行或目标机器无法直接访问 Internet 时,它似乎无法正常工作。我还看到其他原因不太清楚的问题的报告。
有没有更可靠、更灵活的选择?
在 Windows 10 中,可以通过在引导过程中反复切断计算机电源来启动 Windows 恢复环境 (WinRE)。这允许对桌面计算机具有物理访问权限的攻击者获得管理命令行访问权限,此时他们可以查看和修改文件,使用各种 技术重置管理密码等。
(请注意,如果您直接启动 WinRE,则必须先提供本地管理密码,然后它才能为您提供命令行访问权限;如果您通过反复中断启动顺序来启动 WinRE,则不适用。Microsoft 已确认他们不认为这是是一个安全漏洞。)
在大多数情况下,这无关紧要,因为对机器具有不受限制的物理访问权限的攻击者通常可以重置 BIOS 密码并通过从可移动媒体启动来获得管理访问权限。然而,对于信息亭机器、教学实验室等,通常采取措施来限制物理访问,例如通过挂锁和/或警告机器。还必须尝试阻止用户访问电源按钮和墙上插座会非常不方便。监督(亲自或通过监控摄像头)可能更有效,但使用这种技术的人仍然远不如试图打开计算机机箱的人那么明显。
系统管理员如何防止WinRE被用作后门?
附录:如果您使用的是 BitLocker,则您已经部分受到了这项技术的保护;攻击者将无法读取或修改加密驱动器上的文件。攻击者仍然有可能擦除磁盘并安装新的操作系统,或者使用更复杂的技术,例如固件攻击。(据我所知,固件攻击工具还没有被临时攻击者广泛使用,所以这可能不是一个直接的问题。)
我正在使用 Adobe Creative Cloud Packager 构建一个安装包,其中包含所有或大部分可用应用程序(而不是特定的单个应用程序),以便在最终用户工作站上进行部署。
此安装包在 Windows 10 上成功运行,但在 Windows 7 上失败并出现错误 1603(“安装过程中发生致命错误”)。安装程序在失败前运行了很长时间,并且似乎正在安装至少一些应用程序包包含,但这些安装会回滚,并且当安装程序最终退出时,包中的任何应用程序都不存在。
日志文件 (PDApp.log) 可能包含以下消息:
HDPIM 安装过程返回代码为 (190)。停止安装过程。
产品媒体(ESHR,0.3.0)安装失败...
发生了什么事,有什么办法可以阻止它?
症状:
重新启动后第一次登录远程桌面服务器时,系统日志中会生成 TerminalServices-RemoteConnectionManager 事件 ID 1130:
远程桌面会话主机服务器没有指定远程桌面许可服务器。要为远程桌面会话主机服务器指定许可证服务器,请使用远程桌面会话主机配置工具。
120 天宽限期到期后,尝试登录会导致以下错误消息:
远程会话已断开,因为没有可用于此计算机的远程桌面客户端访问许可证。请联系服务器管理员。
但是,已在远程桌面会话主机配置中配置了许可服务器,并且许可诊断显示没有问题。
如此处所述重置宽限期允许登录再次成功,但不能永久解决问题;重新启动后有人通过远程桌面首次登录时,事件 ID 1130 继续出现,再过 120 天后,登录将再次开始失败。
如此处所述,失败的服务器中没有 X509 证书条目
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM
这个问题的可能原因是什么?
Microsoft 更新目录网站似乎非常不可靠。如果它不起作用,哪些故障排除步骤有时会有所帮助?
(请注意,Microsoft Update 目录与 Microsoft Update 不同,尽管它们提供相同的内容。Microsoft Update 目录是一个网站,您可以在其中下载离线安装程序,包括适用于不同版本 Windows 的安装程序,而不是一个你正在运行的。它需要使用 Internet Explorer,而且非常脆弱。)
注意:这是一个规范问题,旨在收集 Microsoft 更新目录中各种常见问题的各种可能解决方案。我发布了一个初始答案,但鼓励提供其他答案。发布到服务器故障而不是超级用户,因为 MUC 主要由系统管理员使用,最终用户通常会使用 Windows Update 或 Microsoft Update。
我们有许多戴尔 PowerEdge 服务器,第九代及更高版本。
根据在第九代戴尔 PowerEdge 服务器中使用 LAN 和串行接口:
作为对前几代戴尔 PowerEdge 服务器的增强,共享 NIC 模式支持通过任一 LOM 连接到 BMC,而不仅仅是一个。
我们对此有点担心,因为在我们的几台服务器上,LOM1 连接到专用管理网络,而 LOM2 连接到 LAN,我们不希望从 LAN 访问 DRAC。
令人费解的是,从实验上看,这似乎不是真的。(详情如下。)在共享模式下配置 DRAC 时,只能从 LOM1 访问 DRAC,而不能从 LOM2 访问。
文章错了吗?如果没有,我如何让 DRAC 在 LOM2 上做出响应?(短篇使用Failover模式,根据文章需要组队,即两个LOM必须在同一个网络上。)
最重要的是,如果有的话,我需要做什么来确定我们的任何 DRAC 都不能通过 LOM2 访问?
测试程序
我正在试验的机器是带有 DRAC 5、硬件版本 A00、固件版本 1.60 (11.03.03) 的 PowerEdge 2970。BMC 固件版本为 2.50。
NIC 选择设置为共享并且 NIC 已启用。
静态 IP 地址为 192.168.241.100,子网掩码为 255.255.255.0。我们的管理网络上没有网关,所以我将其设置为 0.0.0.0。自动协商已开启。其他设置均未配置。
通过连接到 LOM1 的管理网络(以及连接到 LOM2 的 LAN),我可以 ping DRAC 并从可以访问管理网络的生产机器登录到 DRAC Web 界面。(IP 地址 192.168.241.102/255.255.255.0。)即使在清除 ARP 缓存之后,我也无法从 LAN(错误)配置为使用 192.168.241.29/255.255.255.0 的机器 ping DRAC。
将管理网络连接到 LOM2(以及 LAN 连接到 LOM1)后,我既不能从管理网络机器 ping DRAC,也不能通过 Web 界面连接到它。清除 ARP 缓存没有效果。我可以ping DRAC 并从 LAN 上的机器访问 Web 界面。
在这两种情况下,2970 上的操作系统在 LAN 和管理网络上都有完整的网络连接(一旦网络接口被适当配置)。
我还尝试使用 WinDump 在管理网络和 LAN 上查找 arp 回复。在这两种情况下,我只在插入 LOM1 的网络上看到来自 DRAC 的 arp 回复。
如果您尝试在 Windows Server 上安装 Java 8u65 运行时,则会出现以下错误消息:
此应用程序中来自下列网站的内容被 Internet Explorer 增强的安全配置阻止
当对话框关闭时,安装程序挂起。我尝试将文件添加到受信任的站点区域,但我无法弄清楚如何正确格式化路径。
如何在我的 Windows Server 上安装 Java 8u65 运行时?
两个“不处理旧运行列表”设置分别出现在计算机配置 -> 策略 -> 管理模板 -> 系统 -> 登录和用户配置 -> 策略 -> 管理模板 -> 系统 -> 登录下。
这些设置的文档令人困惑(即错误);这两个设置到底是做什么的,它们是如何相互作用的?
在 Windows 7 或更高版本上,尝试使用wusa.exe安装包含 Windows 更新的 CAB 文件会返回错误 0x80070002 (-2147024894),“系统找不到指定的文件”。
我尝试引用文件的完整路径,在会话零中运行命令,以及我能想到的所有其他内容。为什么不安装更新?
注意:问题已解决,父域的管理员设法删除了 DC 对象。我猜他使用了 ADSIEdit。
我正在使用一个 AD 林(幸运的是,在一个孤立的测试环境中,所以失败了我们可以把一切都搞砸)并且不小心尝试使用克隆机器作为新的域控制器来创建一个子域。
很自然,这行不通。但是新的子域已经创建,即使 AD 没有成功安装在假定的 DC 上,现在我无法摆脱它。
我从这篇文章开始。这没有用,因为孤立域的 DC 仍然有元数据。
所以我找到了这个。不幸的是,这也不起作用。
我打开 AD 站点和服务,打开有问题的站点,打开服务器容器,选择有问题的 DC,右键单击 NTDS 设置并选择删除。单击“你确定吗”,选择“此域控制器永久脱机...”,确认我想这样做,即使 DC 不在我连接的域中,并确认我想这样做执行此操作,即使这是域中的最后一个 DC。
然后它说“Windows 无法删除对象 LDAP://... 因为:从服务器返回了引用。”
有人见过这个吗?有任何想法吗?