我在SuperUser上问了这个问题,之前没有意识到serverfault可能是一个更好的select。 我正在configuration运行Windows 7 SP1 Ultimate的计算机上的执行控制,只有一个硬盘和一个分区。 随着AppLocker来创build“默认规则”的选项。 在可执行规则组的情况下,如下所示: 允许所有人path%PROGRAMFILES%* 允许所有人path%WINDIR%* 允许BUILTIN \ Administratorspath* (没有例外。) 随着所有这些到位,“一切按预期工作”。 但是,如果前两条适用于“所有人”的规则被删除,事情就会出错。 现在,使用BUILTIN \ Administrators安全组中的帐户login将不再可能。 (如果该帐户以前已经login过,则可能需要重新启动计算机才能看到此问题,而且这不适用于仍然有效的BUILTIN \ Administrator帐户)。 当你尝试的时候会发生什么呢? 有一个延迟,当桌面应呈现屏幕变成空白。 然后,没有更多。 计算机不会变得没有响应,例如Ctrl + Alt + Delete仍然有效。 (如果我重新configurationAppLocker以明确允许%WINDIR%*的BUILTIN \ Administrators执行权限,或者为“Everyone”恢复该规则,则这些帐户可以再次login。) 根据MSDN : 星号(*)通配符可以在path字段中使用。 本身使用的星号(*)表示任何path。 与任何string值结合使用时,该规则仅限于文件path以及该path下的所有文件。 例如,%ProgramFiles%\ Internet Explorer *表示Internet Explorer文件夹中的所有文件和子文件夹将受规则的影响。 这对我来说意味着BUILTIN \ Administrators的默认规则应该完全重叠为“Everyone”创build的默认规则,在属于BUILTIN \ Administrators组的帐户的情况下使其成为冗余。 正如你所看到的,这似乎并非如此。 所以,我有两个问题: 为什么BUILTIN \ Administrators的默认规则本身不足以让属于这个组的帐户工作(即,它出了什么问题,以及因为这个问题而失败),以及; 什么是关于AppLockerconfiguration的工作pipe理帐户(不是BUILTIN \ Administrator)的最低权限configuration?
所以这里有一点背景。 我们的系统最初是从Windows Server 2003机器开始的,最终随着时间的推移而扩大和发展。 我们仍然有一些Server 2003的,但他们正在被删除。 我们的域控制器最近从Server 2003升级到Server 2012 R2。 尝试从Active Directory用户和计算机的MMCpipe理单元pipe理远程计算机时,服务器有时无法打开远程工作站的“计算机pipe理”。 我们的PDC安装了以下angular色/function: Active Directory域服务 DNS服务器 DFS 组策略pipe理 远程服务器pipe理工具 每当pipe理员尝试pipe理工作站(在任何OU中)时,仅在服务器上logging以下错误: 尝试激活服务器时,DCOM从计算机workstation1.contoso.com中收到错误“2147944122”:{03837521-098B-11D8-9414-505054503030} 组策略启用以下防火墙规则: 计算机configuration\策略\pipe理模板\networking\networking连接\ Windows防火墙\域configuration文件\ Windows防火墙:允许入站远程pipe理例外 除此之外,我们还为TCP端口135,445和UDP 137启用了几个Spiceworks端口例外。 所有的工作站都运行Windows 7 Professional SP1,并且在12月份的补丁周二是最新的。 在任何Windows 7工作站计算机上禁用防火墙时,不会logging错误,并且远程pipe理工作正常。 我还想说明我们使用Vipre Business Premium。 所以这是我的问题: 因为我认为这是一个被工作站或远程机器阻塞的端口,是否有人知道它是哪个端口,还是有更好的方法通过GPO进行设置,以便所有机器都可以远程pipe理? 我尝试了以下修复而没有成功: WMI相关服务/可执行文件的端口例外 检查阻止的端口的Windows防火墙事件日志 使用Wireshark来确定它看起来像Windows使用dynamic端口从tcp端口1024上的任何地方,包括端口41975,和一个范围的例外没有好处。 任何帮助/build议表示赞赏!
背景 我有一个自签名证书的SSTP VPN。 它运行在我们LAN上的Server 2008 R2物理实例上。 计划三个脱网工作站连接到“任务计划程序”的“系统启动”时的VPN。 C:\Windows\system32\rasman.exe -d "VPN Connection" 通常情况下,这工作顺利。 我可以重新启动任何机器,并build立连接。 问题 连接失败的唯一时间是机器在2:45 AM执行夜间重新启动的时间。 重新启动是Task Scheduler中的另一个任务: C:\Windows\system32\shutdown.exe -r -t 0 重新启动后,事件查看器显示两个错误的组: RasClient事件20227 用户SYSTEM拨打了一个名为VPN Connection的连接失败。 失败时返回的错误代码是-2147014836。 RasSstp事件1 最初的安全套接字隧道协议请求无法成功发送到服务器。 这可能是由于networking连接问题或证书(信任)问题。 详细的错误信息在下面提供。 纠正问题,然后重试。 连接尝试失败,因为连接方在一段时间后没有正确响应,或者由于连接的主机未能响应而build立的连接失败。 故障排除 让我感到困惑的是,为什么连接只能在晚上才能成功。 我在一天中testing了计划重新启动,连接总是成功。 我检查了连接设置并手动拨号,并再次成功。 这让我怀疑networking的某些组件是否在夜间不可用,正如RasSstp事件描述所暗示的那样。 然而: 服务器的事件日志显示它在上午2:45醒来并正常运行。 尽pipe如此,日志并没有提到有关获取连接请求的任何信息。 networking连接的组件(路由器,无线天线,防火墙,路由器和交换机到服务器)没有预定的停机时间。 也许他们因为其他原因失败了,但是如果真是这样的话,我们大约200人的其他设备似乎也会抱怨。 错误-2147014836的search结果集中在我们没有使用的Windows Azure上。 VPN服务器是我们LAN上的物理服务器。 RasClient事件202227的search结果集中在连接问题上。 我们的连接大部分时间已经运行。 题 有没有其他人有这种错误? 除了networking呃逆之外还有什么东西可以导致这种情况呢? 非常感谢您的帮助!
我很难连接到我的pipe理员的办公室服务器。 我最近擦了硬盘,并用os x服务器重新安装了os x yosemite。 我在家中使用Windows 7机器,我尝试连接到我的Mac服务器。 我知道公共IP工作,因为我可以很好地SSH和VNC。 直到服务器擦除,我已经完全运行VPN服务,所以我知道他们的工作。 这一点,并没有麻烦ping通我的公共知识产权。 我不断validation用户名/密码,并挂起,然后给出错误629消息。 我有… 用4个成功的包封住公共服务器的IP,每隔一段时间都有9ms的奇怪时间。 扁出closures我的家庭Windows防火墙,也试图添加适当的例外。 已经尝试使用OS X服务器自动向导来调整我的路由器端口转发/端口的开放,以及尝试手动input我的本地服务器的IP地址和端口在机场实用程序中打开。 尝试ping,然后连接到本地地址,而不是公共地址。 试图closures所有forms的encryption。 尝试重置用户名/密码。 检查了OS X优胜美地的无障碍function,它说VPN是公开的。 closures自动VPNtypes并手动尝试L2TP和PPTP。 更新01-07-15: 自从这个职位,我现在也… 尝试在networking选项卡下的机场实用程序中添加所有OS X VPN端口例外。 试图VPN到本地地址,而不是公共地址。 试图添加一个预先确定的密钥或共享密钥,并强制L2TP 通过本地/公共地址将我的同事桌面Mac机连接到VPN。 这两个工作,他们也可以发送/接收/pipe理服务器上的文件共享。 从我的Windows客户端的错误629给了一个报告生成器,抽出一个500页的“摘要”…我将削减看似重要的细节: 安装检查:无法validation已安装的远程访问组件。 电话簿文件:设备= WAN Miniport(IKEv2)< – 奇怪,因为我不认为这应该是IKEv2 远程访问事件日志 事件types:错误 事件来源:RasMan 事件类别:无 事件ID:20276 说明::由于select了身份validation协议,连接尝试在端口:VPN3-1上失败。 检查在连接的客户端和服务器端的操作系统中是否支持身份validation协议 还有什么需要从错误报告中复制,lemme知道。
标题说明了一切。 我已经在Strongswan服务器和Windows 7工作站之间configuration了IPSec IKEv2连接,如果可能,我想使用压缩。 双方的configuration非常简单,使用公钥authentication(工作站上的机器证书): conn rw left=1.2.3.4 leftid=example.com leftcert=cert.der leftsubnet=0.0.0.0/0 leftfirewall=yes right=%any rightid="C=FR, O=Example Company, CN=workstation" rightsourceip=2.3.4.5 rightdns=6.7.8.9 keyexchange=ikev2 esp=aes128-sha256 ike=aes128-sha256-modp2048 compress=yes # compression is enabled auto=add 然而,我总是在Windows客户端上看到“Compression:0%”,而对于“windows ipcomp”的search并没有像官方的MSDN页面那样产生任何相关的结果,只有2010年的这个网页声称Windows(哪一个?)不支持IPComp。 从那时起有什么改变,新版本的Windows支持它(最后一个体面的原因升级到这个Windows 8废话)?
我想通过使用Windows 7的RSAT(远程服务器pipe理工具)来pipe理Samba 4(Active Directory)。我已经安装了RSAT,并在Windows 7中打开了“Active Directory计算机和用户”工具,但是发生此错误: 命名信息无法find,因为: 指定的域名不存在或无法联系。 联系您的系统pipe理员,确认您的域已正确configuration并且当前处于联机状态。 我使用域pipe理员用户login域。 当我运行dcdiag来debugging域控制器时,我得到这个错误: {COMPUTERNAME}不是目录服务器。 这是无法find本地服务器 谁能帮我?
我有一个ASP.NET Web窗体应用程序,它有一些使用SAP Crystal Reports Runtime for .NET Framework 4创build的报告C:\Windows\Temp文件夹包含应用程序的报告文件。 这就是为什么我需要在C:\Windows\Temp上提供IIS_IUSRS权限。 问题是,每当我试图授予Temp的IIS_IUSRS权限,我得到这个错误消息: Error Applying Security An error occured while applying security information to C:\Windows\Temp Access is Denied 如果我点击选项“继续”,我得到以下错误: Windows Security Unable to save permission changes on Temp Access is denied 我需要紧急的解决scheme,因为我有一个紧急交付。 不惜一切代价,我必须将IIS_IUSRS访问权限授予C:\Windows\Temp 。 请紧急帮忙。 .NET Framework – 4,IIS – 7,Windows 7旗舰版 – 64位。
我是一个普通用户而不是系统pipe理员。 我需要帮助使用本地组策略来允许打开一个域。 例如,www.xxxx.com在chrome或firefox(第三方浏览器)上打开,并将该域名设为主页。 我怎样才能做到这一点?
这是昨天出现的情况:我们必须使用别名(CNAME)才能访问我们的计算机上的共享。 该机器正在运行Windows Server 2012 R2,并为Windows 7和8客户机提供服务。 Windows 7客户端没有问题打开共享\ SHARECNAME或\ IP.AD.DR.ESS Windows 8客户端只能打开共享\ IP.AD.DR.ESS 最终有效的是为CNAME创buildSPNlogging以指向HOSTNAME(setspn -S HOST / CNAME HOSTNAME等),并突然共享可用。 HOSTNAME机器确实logging了一个错误: “Kerberos客户端收到来自服务器HOSTNAME $的KRB_AP_ERR_MODIFIED错误,使用的目标名称是cifs / CNAME。” 对此我没有find太多的信息,但是指出了我设定正确的SPNlogging的方向。 我想了解的是为什么客户体验的差异? 谢谢。
我的目的是在联想X250上以PXE方式启动Windows 7(x64)任务序列: SCCM 2012 SP1 使用Windows 8 ADK生成的启动映像4.0 x64 / WinPE 6.2 有了这些 SCCM的联想驱动程序,我尝试了几种configuration: WinPE启动映像驱动程序包3.1 x64 + Windows 7 x64包驱动程序 WinPE启动映像驱动程序包5 x64 + Windows 7 x64包驱动程序。 他们都不允许WinPE的下载,并显示无尽的"connecting to server………"消息。 现在,我想知道为Lenovo X250 w / SCCM 2012 SP1下载启动映像的配方。 如果有人知道,请分享…