James Edmonds's questions

我正在尝试使用 PowerShell 导入 PFX，它是由 OpenSSL 从 cer 和密钥文件创建的（密钥由 OpenSSL 与 CSR 一起生成，该 CSR 已提交给内部 AD CA 以生成 cer）

在 OpenSSL 中查看证书信息时，我可以看到 PFX 仅包含一个证书和一个私钥，这正是我所期望的

如果我运行以下命令，证书将导入中间证书颁发机构，而不是我指定的计算机个人存储：

Import-PfxCertificate -FilePath $SharedPFXPath -Password (ConvertTo-SecureString -String $PFXPassword -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My -Exportable

Import-PfxCertificate该命令可能忽略我的证书存储位置的原因可能是什么？

编辑：只是为了一些额外的信息，我想我会详细说明用于生成源证书和密钥文件等的命令：

从创建密钥和 CSR 开始

openssl.exe genrsa -out $KeyFilePath 2048
openssl.exe req -new -key $KeyFilePath -out $CSROutputPath -config $ConfigFilePath

CSR 配置文件包含以下内容（已删除实际 DN 值）：

[req]
distinguished_name = req_distinguished_name
req_extensions = req_ext
prompt = no

[req_distinguished_name]
C = COUNTRY CODE
ST = COUNTY/STATE
L = TOWN
O = ORG
OU = OU
CN = COMMON NAME

[req_ext]
subjectAltName = @alt_names

[alt_names]
DNS.1 = SAN

然后我将 CSR 提交给 AD CA，并保存 BASE64 编码的证书。我使用这个和密钥文件来创建 PFX

openssl.exe pkcs12 -export -in $CertPath -inkey $KeyFilePath -out $PFXPath -passout pass:$PFXPassword -nomac

我必须添加-nomac到我的 PFX 命令，否则每次我尝试手动将 PFX 导入证书库时都会收到错误的密码错误。不确定这是否会导致我的问题，或者我之前的一些命令是否会给我带来一些问题？

我们目前通过运行登录 PowerShell 脚本来添加用户上下文 VPN，为我们的 Windows 10 客户端部署每个用户 VPN 连接。

我们希望部署与 AllUsers 连接相同的连接，以便在用户登录之前在登录屏幕上可用。是否可以仅通过组策略执行此操作？启动脚本会在系统上下文下运行并允许部署吗？

我总是在我的家庭实验室中测试 VPN 用户和设备隧道，以评估我们公司环境中的实时部署。

我的用户隧道工作正常，但我的设备隧道没有自动连接，当我通过“rasphone”连接时，它似乎在一段时间后或在我退出机器后断开连接。

这是因为我使用的是 Windows 10 专业版，但设备隧道仍仅限于企业版？在没有 Windows 10 企业版的情况下，我有没有其他方法可以测试设备隧道？

我们有一个运行大约 15 个虚拟机的 4 节点 Hyper-V 集群。在我没有测试过的任何一个上，我可以检查或编辑正在运行的 VM 上的 VHDX。尝试这样做时出现某种权限错误：

鉴于虚拟机正在运行，主机显然可以访问这些文件。我可以浏览到文件的位置并查看它们，并且我可以看到当前每个人都有完全控制权。

鉴于上述权限，还有什么会阻止我编辑磁盘？

我有一台加入域的机器，在我们公司的 VPN 上，我无法访问 Windows 应用商店中的应用程序页面，也无法在反馈中心加载反馈。我可以在不在 VPN 上的情况下访问所有这些。

有谁知道这些应用程序的端点是什么，所以我可以向我们的 Web 过滤服务和防火墙添加例外，以允许我在我们的 VPN 上访问这些？

我继承了 Exchange 2016 on prem 和 Exchange Online 之间的混合部署。我必须做的第一件事是转向集中式消息传输，因为它向邮件流添加了两个不必要的跃点，并且 100% 依赖于本地服务器。

由于将消息附加到来自组织外部的任何消息的传输规则而曝光的一件事是，从我们的 MFD 或旧版应用程序提交到本地服务器的任何消息都被视为外部消息.

我一直在根据所有在线混合指南对远程域、入站连接器和出站连接器进行更改，但我的所有测试仍然显示为外部消息。

由于我的测试是简单地 telnet 到本地服务器并向我自己发送消息，这是否是测试环境更改的有效方法？我想知道是否因为我匿名连接到服务器，这可能意味着无论我对连接器等所做的更改如何，该消息都被标记为外部？

• 我有一个 AD 域在我的网络上运行，只有一个 DC
• 我的所有客户，无论是否加入域，都将此 DC 用于 DNS
• DC 有一个转发器集 1.1.1.1 用于外部查询

我有一台加入域的计算机，我想使用此 DC 进行内部名称解析，但我希望 DC 忽略任何不用于我的内部域名的 DNS 请求。

在我看来，2016 年的 DNS 政策可能是我的一个选择： Server 2016 DNS policy

我想知道是否有人可以建议如何适当地配置过滤器，只处理一个特定主机的内部 DNS 请求。

我使用本指南创建了一个内部 ADCS CA，然后提交了一个证书请求，为我的域 eds89.com 创建一个通配符证书。这背后的意图是应用于我的一些内部可访问的测试服务器，以便从加入域的机器进行访问并抑制证书错误。

一切似乎都很好，并且证书链似乎对于内部加入域的机器是受信任的，但是，当我使用 rd.eds89.com 浏览到一个站点时，Chrome 给了我一个 COMMON_NAME_INVALID 错误。

如果我查看证书详细信息，我可以看到它是发给 *.eds89.com 的，所以我很困惑为什么它认为它是无效的？这是证书主题

CN = *.eds89.com
OU = Home
O = Eds
L = Ipswich
S = Suffolk
C = GB

作为参考，这是我创建证书所遵循的指南。

谁能建议我是否需要使用不同的设置重做请求以说明 Chrome 处理证书方式的任何更改，或者我是否完全不合时宜？

不确定这是否属于与 PowerShell 相关的 stackoverflow，但由于它不是脚本并且与服务器任务相关，所以在此处发布。

我正在尝试重新创建我们在旧文件服务器上的任务，作为新故障转移集群上的集群任务。

为此，我需要将动作和触发器设置为要传递给 New-ClusteredScheduledTask 的变量。我所做的操作没有问题，但我不确定如何运行 New-ScheduledTaskTrigger 以正确地将其设置为每个月的最后一个星期二。

我可以看到有 Daily 和 Weekly 切换，还有 WeeklyInterval，但我不想依赖每周间隔，因为这并不总是落在每月的最后一个星期二？

谁能建议如何使用可用开关和值的组合重新创建此触发器？

我发现当我执行 GPresult /h 并查看生成的报告时，我看到“组件状态”部分中的“组件名称”具有 GUID 而不是描述。截图如下：

谁能告诉我如何确定这是什么？它目前似乎没有引起任何问题，但它似乎不应该这样做，而是应该向我显示一个组件名称而不是 GUID。

我不认为 GUID 是 GPO 的 GUID，而是 GP 组件的 GUID。我也不知道如何确定是哪个 GPO 导致它显示在 GPResult 中。

编辑： RSOP 数据的结果，用户配置中没有错误，这就是显示的地方：

本周我们开始在运行 2012 R2 的一两个远程桌面会话主机服务器上遇到问题，当用户尝试登录时，他们会卡在其中一个登录消息上，例如“处理组策略设置”， “应用组策略打印机策略”等。这发生在 3 个不同的用户身上，每周三个不同的日子一次。它只在早上发生过，而且每天只有一次。

然后我们在该服务器上看到一个没有用户名的会话，该会话已断开连接并停留在“退出”状态（通过任务管理器连接到会话确认）。

我们还可以在我们的文件服务器上看到他们的用户配置文件磁盘上有两个锁，被同一台服务器锁定。用户根本无法登录。如果我们为他们的 UPD 关闭打开的文件，并且他们尝试再次登录，他们将收到一条消息，说他们无法登录，因为远程桌面服务服务正忙（可能是退出此虚拟会话）。

我们唯一的解决方法是手动将它们登录到我们池中的不同特定服务器，然后让它们远程连接到该会话。

查看事件，对于该用户首次登录尝试，我可以按以下顺序查看它们：

（看到这一点并不罕见，因为我们几乎每个用户都获得了其中一个，几乎每次登录，无论成功与否）。

然后，我可以看到该用户进行了多次登录尝试，每次都经历了一组事件，以断开连接结束，原因代码 12 如下：

有人对为什么此登录尝试会创建此恶意会话以及我们如何纠正它有任何想法吗？

干杯

编辑

我们已经部署了一个 2012 R2 ADFS 场已有一段时间了。

今天更改 ADFS 配置的 Web 主题时，我注意到我无法使用其 FQDN 从我的工作站连接到我们场中的辅助服务器。

我可以毫无问题地连接到主服务器（证书使用内部 FQDN 无效的事实除外）。在诊断时，我发现如果我登录辅助服务器并使用 localhost，它工作正常，只有远程连接有问题。

我可以看到一些 ADFS 事件表明辅助服务器确实在为身份验证请求提供服务，但我现在担心当主服务器停机进行维护时，任何依赖基于表单的身份验证的设备都无法工作。我尝试重新启动服务器，检查以确保防火墙没有阻塞端口，现在不确定还有什么问题。

似乎没有任何类型的 IIS 安装可供我查看设置，所以我很茫然。任何人都可以就我为什么无法远程连接到此辅助服务器提供任何建议吗？

我们有一个适用于我们的用户容器的驱动器映射 GPO，以便在用户登录的任何计算机上创建驱动器映射。

我们发现，如果地图被删除，并且 gpupdate /force 运行，地图不会重新出现。事实上，在用户注销并重新登录机器之前，它们不会重新出现。

这是预期的行为，还是应该在 GP 更新期间重新创建驱动器映射？我们担心有人无意中断开了他们的主驱动器映射，然后在我们刷新期间它不会自动重新出现，这意味着他们打电话给我们，我们别无选择，只能让他们注销并重新登录。

我们有多个 2012 R2 远程桌面会话主机在 ESXi 6.5U1 上运行，并且本周注意到这些虚拟机中的大多数已经开始遇到问题；

一天中反复持续几分钟，任务管理器中显示的修改后的内存使用量猛增至 18GB 或更多（取决于 VM 内存分配和活动内存），并达到 100 次提交。

过了一会儿，我猜修改后的内存被刷新到磁盘，然后使用恢复正常。

在此期间，VM 几乎完全没有响应。最近有没有人经历过这种情况并对原因有任何想法？

有没有办法禁用通知区域中显示的警告，告诉您 Windows 防火墙已禁用？

编辑：我们特别希望通过组策略来实现这一点，而不是手动过程。

我们通过 GPO 禁用域防火墙配置文件，这意味着 Windows 10 机器会不断在通知区域中放置警告通知。这会产生用户呼叫，询问警告是关于什么的。我们知道它被禁用了，所以想要抑制警告。

我在 2012 R2 远程桌面服务上部署了一个测试 VDI 设置，当我尝试在我们的一个 Windows 10 虚拟桌面上隐藏会话时，我收到一条消息：

“计算机名称无效”

我找到了这篇文章，但即使在启用网络发现之后，尝试隐藏会话时同样的错误仍然存​​在。

我还需要做些什么才能使其正常工作吗？

我创建了一个基于 2012 R2 的测试 VDI 实验室，并尝试测试两件事；

1. VDI VM 上的 vGPU 可提高 VM 上媒体内容的性能并减少虚拟化主机上的 CPU 负载
2. 启用 RemoteFX USB 重定向

就 vGPU 而言，我已经对其进行了配置，并且我可以看到在 VM 中播放视频时正在使用主机上的 GPU，但性能很差。这很可能归结为 VM 的低规格和慢速存储等成为瓶颈。

我遇到的主要问题是让 USB 重定向工作。在我的 Windows 10 工作站上，我启用了本地策略以允许管理员和用户进行重定向，现在可以在 RDP 客户端的本地资源下看到 RemoteFX 设备部分。

但是，当我连接到任何远程计算机时，无论是通过集合还是直接连接到 Windows 10 VDI 桌面，还是任何 2012 R2 服务器，都不会出现重定向设备的图标，并且我连接的 Microsoft LifeCam 和耳机也不会重定向。

我的连接和连接是否有一些特定的组合才能正常工作，因为我的理解是这些受支持的设备应该至少重定向到 2012 R2 服务器？

我们目前正在测试基于 server 2012 R2 远程桌面服务构建的 Windows 10 VDI 部署。

在池化 VDI 部署中，部署似乎主动保持 2 个 VM 运行准备好供最终用户连接，并且在用户登录时，它会打开另一个 VM 以确保始终有 2 个 VM 准备就绪。

我很好奇是否有办法定义活动备用虚拟机的数量以适应登录风暴？我们更愿意将此数字设置为 10，以便它可以更好地处理同时连接的多个用户。

我怀疑但无法测试，当 3 个用户尝试同时登录时，2 个用户将连接到正在运行的虚拟机，但第三个用户必须等待更长时间才能从保存状态恢复另一个虚拟机。我觉得这会导致该用户的登录体验更差。

我们正在寻求部署一个新的文件服务器集群，其中要存储的东西之一是 Server 2012 R2 远程桌面用户配置文件磁盘 (UPD)。

我的问题是，将这些存储在标准文件服务器集群还是横向扩展文件服务器集群 (SOFS) 上是最佳实践。

我的理解是，SOFS 旨在用于 Hyper-V vmdk 文件，因为它们不断打开，这就是 SOFS 的意图。它不适用于具有大量元数据更改的标准文件和文件夹。

由于用户配置文件磁盘将是长时间打开的文件，而不是经常打开和关闭的文件，我原以为它们最好放在 SOFS 集群上。

希望有人可以为我指出文件服务器集群上用户配置文件磁盘的最佳实践方向，以及应该使用什么类型。

我正在尝试从我的 Windows 10 工作站管理我们的两个 QLogic SANBox 5800v 光纤交换机。

不幸的是，由于我认为 Java 和 IE 的兼容性问题，Web UI 无法在 Windows 10 机器上运行。首先，您必须跳过兼容模式、受信任站点和 Java 安全设置的障碍，但是使用最新版本的 Java，我只会收到 Java 异常（拒绝访问）消息。

目前，我使用 GUI 管理这些开关的唯一方法是使用带有过时版本的 IE 和 Java 的旧 Vista PC，这显然不太理想。SANSurfer 现在也已被弃用，无论如何我也无法让它在 Windows 10 上运行。

QLogic 无法告诉我如何使用 GUI 通过 Windows 10 进行管理，并建议我只使用 CLI。这涉及到必须学习命令和语法等，因为我没有接受过 QLogic CLI 管理方面的适当培训，因此我很谨慎，并且可能最终会做一些会导致实时切换的事情。