我们有很多运行Windows 2008 R2(RDS / Citrix)的服务器。 我们尽我们所能来locking远程桌面和已发布的应用程序。 最近,我的一位同事向我展示了他如何使用7-zip浏览我们的networking(用一个简单的用户帐号)。 实际上,这是我从来没有做过的事情(我很less检查“小”应用程序,并把所有的工作都放在“更重要的应用程序”,比如Office Suite,SQL客户端等等)。 再次检查后,似乎连接到其远程桌面的用户可以使用7-zip浏览networking并访问服务器上的文件和文件夹。 幸运的是,他们不能打开文件,删除或移动它们,但仍然想find一种方法来禁用它。 我没有find许多文件或手册为此目的,因为我不能禁用GPO的function(我希望我们可以保持7-Zip,而不是用户的其他应用程序)任何人都可以提供一些帮助吗?
是否有人知道如何解决同时改变所有国家领域的问题,也许为什么国家领域每次select+应用一个国家的变化,直到对象被closures和重新开放,都会成倍增长? 背景信息,域已从2000 => 2003迁移,并从2003 => 2008 R2林function级别迁移。 问题如下:老用户在CAPITALS中获得了国家/地区(CN),每当国家变更时,下拉菜单再次显示所有国家。 如果国家手动直接更改(不通过pipe理员Reccource工具包mmc)该字段设置正确。 即使不能立即解决,我也会欣赏各种答案和评论。 查找下面的示例和图片: 名称 – 国家 John Doe – 德国(正确) 弗雷德失败 – 德国(错误) 第一次开放: 第一次申请: 第二次申请:
在Windows Server 2003 / IIS6版本中,我们通常会创build一个应用程序池,该应用程序池作为用最小特权创build的AD帐户的标识运行。 同样的域用户也将被授予访问SQL Server的权限,以便该应用程序池中的任何ASP.NET应用程序都能够连接到集成安全性= SSPI的SQL Server。 我们正在向Windows Server 2008 R2 / IIS7.5的世界迈进,并正在复制这个模型,但是我正在努力如何让IIS7.5中的应用程序池以AD帐户的身份运行? 我知道这听起来很简单,希望是这样,但是迄今为止我的尝试都是徒劳的。 应用程序池标识是否应为域帐户的“自定义帐户”? 域帐户是否需要添加到任何组?
使用Active Directory,监控复制的好方法是什么? 我有多个站点和多个位置,所以理想情况下,站点间和站点内的复制都将受到监视。 我不确定是否需要监视每个DC,每个NTDS连接或每个DC *每个NTDS连接。 为了适应标准的警报方法,perfmon计数器可以让我提醒复制是否在X分钟之后,似乎是理想的。
我遇到了一个奇怪的Windows 2008R2集群相关的问题,困扰着我。 我觉得我已经接近了这个问题,但是还没有完全理解发生了什么。 我有两个2008R2服务器上运行的两节点交换2007群集。 在“主”群集节点上运行时,交换群集应用程序正常工作。 将群集资源故障转移到辅助节点时会发生此问题。 将群集故障转移到与“主”相同的子节点上的“辅助”节点时,故障转移最初工作正常,群集资源在新节点上继续工作几分钟。 这意味着接收节点确实发送了更新networking上arp表的免费ARP响应数据包。 但是在x时间之后(通常在5分钟之内),再次更新arp表,因为突然间群集服务不响应ping。 所以基本上,我开始ping到交换机群集地址,当它在“主节点”上运行。 它工作得很好。 我将集群资源组故障切换到“辅助节点”,并且只丢失了一个可接受的ping。 失败后,群集资源仍然会回答一段时间,突然间,ping开始超时。 这告诉我,arp表最初是由辅助节点更新的,但是之后有些东西(我还没有发现)会错误地更新它,可能是主节点的MAC。 为什么会发生这种情况 – 有没有人遇到同样的问题? 群集没有运行NLB,问题在故障转移回没有问题的主节点后立即停止。 每个节点正在使用网卡绑定(intel)和ALB。 就我而言,每个节点都在同一个子网上,并具有网关等等。 编辑: 我想知道它是否可能与networking绑定顺序有关? 因为我注意到,从节点到节点的唯一区别就是在显示本地的arp表时。 在“主”节点上,arp表作为源在集群地址上生成。 而在其次要的,它从节点自己的网卡产生。 对此有何意见? 编辑: 好的,这里是连接布局。 集群地址:AB6.208 / 25交换申请地址:AB6.212 / 25 节点A:3个物理的nics。 两个使用Intere和地址AB6.210 / 25合作的群组称为public最后一个群集通信使用private 10.0.0.138/24 节点B:3个物理节点。 两个使用Intere和AB6.211 / 25组合在一起称为public最后一个用于集群通信的被称为private的10.0.0.139/24 每个节点都位于一个连接在一起的独立数据中心。 terminal交换机是DC1中的思科交换机,DC2中的NEXUS 5000/2000。 编辑: 我一直在testing多一点。 我现在在同一个集群上创build了一个空的应用程序,并且在交换应用程序的同一个子网上给它一个另外的ip地址。 失败这个空的应用程序结束后,我看到了完全相同的问题发生。 在一两分钟后,其他子网上的客户端无法ping应用程序的虚拟IP地址。 但是,当其他子网上的客户端不能使用同一个子网上的另一个群集的另一台服务器时,则无法ping通。 但是,如果我再做一个故障转移到原来的状态,那么情况是相反的。 所以,现在在同一子网上的客户端不能,而在另一个上他们可以。 我们有另外一个集群在相同的子网上设置,使用相同的intel网卡,相同的驱动程序和相同的分组设置。 在这里,我们没有看到这一点。 […]
我确实有一个域,在所有用户和计算机对象上已经更改了默认的ACL,并且启用了列表对象模式 (基于目录对象的基于访问的枚举)。 最值得注意的是,大多数目录对象的“Everyone:读取”权限已从列表中删除,因此用户无法读取“外部”对象以符合隐私保护策略。 在这个星座中,应用程序的客户端(基于UniPaas框架,如果这很重要)试图读取特定用户的组成员身份,并且由于未知原因而失败。 从软件制造商,我们得到了一个简单的testing案例,其中net user %USERNAME% /domain失败,出现错误5 – 访问在此基础架构中被拒绝。 networking协议的net use正在使用,它的失败方式与我们所看到的应用程序的networking痕迹相对应。 我现在有点不知所谓的内部net user调用(特别是它用来读取属性的API以及用户必须获得的权限)。 我如何开始debugging呢? 编辑:我想出了一件事是运行Wiresharkloggingnetworkingnet user %username% /domain调用引起的networkingstream量。 一切都看起来不错,直到为BUILTIN域(S-1-5-32)发出一个SAMR OpenDomain调用,返回STATUS_ACCESS_DENIED,之后所有连接都被拆除。 请参阅此pcap跟踪中的数据包33和34 。 这似乎是拒绝来自net user响应的原因,虽然我不知道这里出了什么问题。
目前,我遇到了Windows Server 2008 R2文件服务器上启用的DFS共享和ABE问题。 一切工作正常与Windows,问题是与Linux / Unix机器。 他们无法(使用相同的用户名)访问名称空间:\ fileserver \ namespace \ folder1 \ subfolder1 我根本无法访问它。 我所能做的只是挂载\ fileserver \并查看所有可用的共享:admin $; C $; d $; F $; 命名空间 也从这里,我无法访问它们。 由于我pipe理的是Windows服务器而不是unix机器,所以我已经安装了一个虚拟机来自己testing,而且确实不起作用(Ubuntu 13.04)。 即使使用graphics用户界面,也无法正常工作,我只能看到上面的分享,但不能访问它们。 任何帮助表示赞赏。 谢谢
我想要做什么? 我们有几个SCCM客户端,主要是在Windows Server 2008 R2的IIS 7.5上运行的公共网站,这些网站由一个名为XYmon的系统监控 。 我们最近注意到这些服务器在大约一个小时之前安装每月Windows更新后重新启动。 SCCM客户端操作和监控系统存在一定的延迟,但是XYmon在19:20-19:30之间失去与这些机器的连接,而其余的受监控机器在20小时后似乎重新启动大约一个小时: 20-20:30。 我期望应用的维护窗口从20:00开始,到22:00结束,每周四重新出现。 我想弄清楚为什么这些机器提前一小时安装更新。 我知道多个维护窗口“联合”或合并,所以我怀疑有另一个维护窗口也适用于这些客户端。 这些机器也在非域joinDMZ,所以我不会排除任何时区/时钟偏移问题。 我为了做到这一点而尝试了什么? 我认为时区/时钟倾斜问题是最有可能的,但两台机器都在正确的时区,同步时间,并设法适当地处理发生在3月8日的夏令时变化。 我的下一个假设是,我们有一个错误的或旧的维护窗口,适用于这些机器收集。这似乎有点不太可能,因为有另一台机器应该是所有相同的集合重新启动在正确的时间20:00十岁上下。 让我们确保客户端实际上是重新启动时,监测系统说这是! 如果我检查一个客户端, systeminfo在19:22显示启动时间。 事件日志似乎协作: Log Name: System Source: USER32 Date: 3/12/2015 7:21:02 PM Event ID: 1074 Task Category: None Level: Information Keywords: Classic User: SYSTEM Computer: HOST09 Description: The process C:\Windows\CCM\CcmExec.exe (HOST09) has initiated the restart of computer […]
我正在使用承载ASP.NET MVC 5应用程序的IIS 7.5 Windows Server 2008 R2 Enterprise 。 我最近注意到其中一个w3wp.exe进程正在使用非常高的CPU带宽: 在调查了一下之后,我也注意到了这个原因是函数clr.dll!CopyPDBs : 有人知道可能是什么问题吗? 如果原因与.NET Framework和clr.dll!CopyPDBs不相关,我怎样才能进一步调查find这个实际的原因
尝试将域帐户分配给IIS 7.5应用程序池时,出现以下错误: Details: Bad Data. (Exception from HRESULT: 0x80090005) 我的研究表明,当您复制applicationhost.config文件而不导入密钥时,可能会发生这种情况。 我所看到的build议解决scheme是卸载IIS并从头重新构build( http://forums.iis.net/t/1160895.aspx )。 我不确定哪个机器的configuration来自于原来的,现在会丢失。 如果没有更好的理解这个问题,我不愿意重buildIIS。 我的理解到目前为止,私人密钥(IIS中的某处?)用于encryptionAD帐户的凭据。 那么,为什么IIS不能使用现有的密钥在其configuration中创build这个新的AD帐户,或者为什么我不能生成一个新密钥并使用它? 当前是否正在使用该机器上没有任何密钥?