DNSpipe理器pipe理工具似乎没有为单个loggingconfigurationTTL的选项。 我可以通过右键单击 – >属性 – > SOA来设置每个区域的TTL。 每个logging的等价物在哪里?
我公司正在全面推出Active Directory,包括Office 365同步,Lync,Exchange和Outlook。 我们目前还没有AD(尚未); 5个独立的办公室有400多个用户。 我们面临的困境是我们是否应该最初部署Windows Server 2012或2008R2。 2012年某些元素害怕未知的问题,我们的承包商之一build议我们使用2008年,因为它有一个更大的知识基础。 我已经在2012年完成了所有的testing,我知道任何一个人都会为我们的目的而工作。 这是相当简单的部署(2个DC和1个ADFS服务器)。 我们还将添加WDS,WSUS,Sharepoint和WebHelpDesk。 是否有任何有效的技术原因,我们不应该使用最新的可用版本,假设这是对环境的完整描述,或者我们应该注意的Windows Server 2012的警告?
我遇到的基本问题是我有超过100,000个无用的机器证书让我的CA陷入混乱,我想删除它们,而不删除所有的证书,或者提前跳过服务器,并使一些有用的证书无效那里。 这是因为我们的企业根CA(2008 R2)接受了一些默认设置,并使用GPO自动注册证书的客户端计算机,以允许802.1x身份validation到我们的公司无线networking。 事实certificate,默认的Computer (Machine) Certificate Template将很高兴地允许机器重新注册,而不是指示他们使用他们已有的证书。 这对于那些希望使用证书颁发机构的人(我)来说,造成了很多问题,因为每次工作站重新启动时,都会有一个日志。 (侧面的滚动条正在撒谎,如果将其拖动到底部,则屏幕暂停并加载接下来的几十个证书。) 有谁知道如何从Windows Server 2008R2 CA中删除 100,000个左右时间有效的现有证书? 现在,当我去删除一个证书时,我收到一个错误,它不能被删除,因为它仍然有效。 因此,理想情况下,暂时绕过这个错误的方法就是马克·亨德森(Mark Henderson)提供了一种在清除障碍后用脚本删除证书的方法。 (撤销它们不是一种select,因为它只是将它们移动到Revoked Certificates ,我们需要能够查看它们,而且它们也不能从撤销的“文件夹”中删除。) 更新: 我试了一下@MarkHenderson的网站 , 这个网站很有希望,而且提供了更好的证书pipe理能力,但是还是没有达到目标。 在我的情况下,似乎是证书仍然是“时间有效的”(尚未过期),所以CA不想让它们从存在中删除,这也适用于撤销的证书,所以撤销他们所有,然后删除他们也不会工作。 我也用Google-Fufind了这个technet博客 ,但不幸的是,他们似乎只需要删除大量的证书请求,而不是实际的证书。 最后,现在,时间跳转CA,所以我想摆脱的证书到期,因此可以删除与工具在网站马克链接是不是一个很好的select,因为会过期我们使用的一些有效的证书必须手动发放。 所以这是比重buildCA更好的select,但不是一个好的select。
问题:在服务器上使用某些证书时,Windows Server 2008 R2将仅支持以下ssl密码套件: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 这可以防止XP客户端连接到服务器,因为XP Cryptographic API默认不支持任何AES密码。 因此,尝试使用Internet Explorer或远程桌面进行连接时,服务器日志中会出现以下错误。 (因为他们使用微软的CAPI) Schannel错误36874“从远程客户端应用程序收到TLS 1.0连接,但服务器支持客户端支持的密码套件的多行,SSL连接请求失败。 Schannel错误36888“生成以下致命警报:40.内部错误状态是1204”
我们最近在Windows Server 2008 R2服务器上遇到了一些令人讨厌的时间同步问题。 我追溯到一个非常简单的事情: Windows时间服务未启动! 当时间服务没有运行时,通过NTP不可能同步时间… Windows时间服务设置为在服务控制面板中“自动”启动 ,我将其双重和三重检查。 我也检查了事件日志,我没有看到任何服务失败或类似的东西。 实际上,在安装了Windows Update和重新启动服务器之后,它看起来很像Windows时间服务从未自动启动。 (这是每周六下午7点发生的。) 我开始时间服务的时候,时间同步正常。 那么,问题是:为什么服务设置为“自动启动”…不能自动启动? 这对我来说似乎有点疯狂。
我多年来一直运行chkdsk /F多次…今天我必须在我的一台2008 R2服务器上运行它,并得到正常的消息: Chkdsk无法运行,因为该卷正在被另一个进程使用。 您是否希望在下次系统重新启动时检查此卷? (Y / N)y 系统下次重新启动时将检查该卷。 我已经看了在这里的Technet文档: http : //technet.microsoft.com/en-us/library/cc730714.aspx以及谷歌search和searchTechnet和网站:microsoft.com谷歌,但可以找不到我要找的东西 问题: Windows如何在重新启动时安排这个工作? 它不是在任务计划程序或RunOnce或类似的,这是有道理的,如果它需要在Windowslocking卷之前运行…所以Windows设置这个“计划的任务”发生,以便服务器知道甚至一个一周后在维护时段重新启动?
我想知道是否重新启动一个服务器在一个时间表将是一个好主意的性能。 假设我们希望在每两晚上午2:00重新启动服务器。 这里的服务器是Windows Server 2008 R2 。 主要是,SQL Server和IIS 7.5(近15个应用程序运行)正在此服务器下运行。 服务器有4GB内存。
情景 为了简化这个最简单的例子: 我有一个具有DHCP服务器angular色的Windows 2008 R2标准DC。 它通过各种IPv4范围提供IP,在那里没有问题。 我想要什么 我想创build通知/事件日志条目/类似的方式,只要设备获得DHCP地址租约,并且该设备不是 Active Directory中join域的计算机。 Powershell是不是自定义的Powershell等等 底线= 我想知道什么时候非域设备在networking上,而不使用802.1X。 我知道这不会占静态IP设备。 我有监控软件,可以扫描networking和查找设备,但是细节上并没有这么详细。 研究完成/select考虑 我没有看到任何内置日志logging的可能性。 是的,我知道802.1X,并有能力在这个位置长期实施,但我们有一段时间这样的项目,虽然这将解决networking身份validation问题,这对我仍然是有帮助的802.1X目标。 我已经四处寻找一些脚本位等,可能会certificate是有用的,但我发现的事情导致我相信,我的谷歌眼下正在失败的时刻。 我相信下面的逻辑是正确的( 假设没有一些现有的解决scheme ): 设备接收DHCP地址 logging事件日志条目(DHCP审计日志中的事件ID 10应该可以工作(因为新的租约是我最感兴趣的,而不是续订): http : //technet.microsoft.com/en-us/library /dd759178.aspx ) 在这一点上,某种脚本可能不得不接pipe下面剩余的“步骤”。 以某种方式查询这个DHCP日志这些事件ID 10的(我会喜欢推,但我猜拉是唯一的办法在这里) parsing查询分配新租约的设备的名称 在AD中查询设备名称 如果没有在AD中find,请发送通知邮件 如果有人有任何想法如何正确地做到这一点,我真的很感激。 我不是在寻找一个“gimme codez”,但很想知道是否有上面列表的替代scheme,或者如果我没有想清楚,另有一种方法来收集这些信息。 如果你有代码段/ PS命令,你想分享,以帮助完成这一切,更好。
Windows Server 2008 R2似乎支持TLS 1.1和1.2,但默认情况下它们是禁用的。 为什么他们默认禁用? 他们有什么缺点吗?
给定一对用户和一个特权,我需要确定一个用户是否有权限在服务器上。 以下是我的设置: 服务器是域的一部分,但不是域控制器 基础设施中有几个信任关系的领域 有时,用户(本地,域或来自不同域)可以属于本地组,而其属于本地组的其他组(域或本地),而不是直接属于组。 最后一点的示例场景: User1属于DomainA中的组TeamA DomaimA \ TeamA是DomainB \ SpecialAccess的成员 DomainB \ SpecialAccess是DomainB \ DomainAdmins的成员 最后,DomainB \ DomainAdmins属于本地pipe理员组 本地pipe理员组具有SeRemoteInteractiveLogonRight privelege 现在,如果我有inputDomainA \ User1和SeRemoteInteractiveLogonRight我需要到达是或否回答。 所以我打开机器上的本地策略,注意哪些组是根据我所感兴趣的权利也列出,然后去服务器pipe理员,看看什么在组成员,然后我需要看看这些组中的任何组的成员等等。 我有一个直觉,可以更容易。 当我发现AccessChk工具时,我非常兴奋。持续了整整三分钟,我发现它只列出了直接的关系,所以组内的用户不会被列出。 现在我猜测,可以合并来自AccessChk的结果,以便我可以检查用户是否属于AccessChk返回的任何组,但是鉴于它不是一个域,而是几个我不知道如何处理这个。 另外AccessChk输出似乎不区分组和用户。 编辑 :本着不落入XY问题的陷阱,我真正需要做的是确保在一组服务器上没有用作IIS应用程序池标识的特定用户帐户具有SeInteractiveLogonRight或SeRemoteInteractiveLogonRight特权。 我对IIS部分没有任何问题,但是检查某个帐户的最后一个步骤是我正在努力寻找一个简单的方法来检查。 我也想自动检查,因为这是需要定期完成的。