TL;博士 我有一个多实例SQL Server上的专用IP地址和端口(162.xxx.xxx.51:1433)的SQL Server实例(SQLSERVER01-i01)(Windows Server上的每个SQL Server实例都有自己的IP地址)全部运行在一台Windows服务器上(SQLSERVER01 / 162.xxx.xxx.50)。 我还有一个专用的具有自己的IP地址和端口(168.xxx.xxx.71:1433)的Reporting Services实例(SQLSERVERRS01-i01),该实例运行在具有自己的IP地址的不同Windows服务器(SQLSERVERRS01)上.xxx.xxx.70)。 专用的Reporting Services服务器具有应用程序APPL1 ,可以通过http://SQLSERVERRS01-i01:80/Reports_APPL1或通过http://SQLSERVERRS01:80/Reports_APPL1 。 由于主机报头的Reporting Servicesconfiguration中的*:80configuration,SSRS将select这两个请求。 我们在每个IP范围之间都有多个防火墙,这意味着我们必须为每个IP到IP或IPrange到IP的连接申请一个特定的规则。 但是,如果涉及两台服务器,则安全性要求防火墙始终必须是IP到IP的规则。 题 (基于屏幕截图进一步下降) 当Reporting Services服务器连接到SQL Server实例(位于162.xxx.xxx.51)以检索数据时,是否始终会与Windows服务器的基础IP地址(168.xxx.xxx.70 / preferred)build立连接)SSRS正在运行,还是将(有时)使用SQL Server Reporting Services实例的IP地址(168.xxx.xxx.71)? 这与使用IP到IP方法的防火墙规则的configuration相关。 我将要么申请一个规则,通过端口1433或168.xxx.xxx.70到162.xxx.xxx.51连接定义一个168.xxx.xxx.71到162.xxx.xxx.51连接港口1433。 目前我会申请两个防火墙规则。 奖金问题 我可以configurationReporting Services服务器与专用IP地址进行通信吗? 在这种情况下与168.xxx.xxx.71地址。 解决scheme我不是在找 我不是在寻求如何优化防火墙configuration或如何为我们的networking实施分区概念的build议。 (它已经在pipe道中)。 另外,我对反馈表示不感兴趣,build议在同一台服务器上安装SQL Server和SSRS可以解决我的问题。 我知道,很乐意这样做,但需要与SSRS组件一起运行的第三方软件。 有用 如果我在SSRS和SQL Server实例之间应用两个防火墙规则,我的configuration工作。 168.xxx.xxx.71 –> 162.xxx.xxx.51 : 1433 168.xxx.xxx.70 –> 162.xxx.xxx.51 : 1433 我想安全地减less一个防火墙规则,并确保一切仍然有效。 […]
我正在寻找可能使用Server 2012R2中的存储空间来构build一个NAS。 我正在寻找build立一个相当大的单位,12-14硬盘,在“RAID10”像设置(我知道存储空间不做RAID10,但也有类似的东西),与SSDcaching。 而且我期待在未来可能挂钩另一个外部JBOD机箱,为“RAID5-6”类似的设置。 我不打算做减压或重复数据删除。 我的问题是,我想要什么样的硬件? 一个小至强或Opteron能够处理它吗? 或者我应该拍摄一个更大的2.4GHZ + Xeon 4核心HT或12核心Opteron,甚至是双重cpus? 系统需要多less内存才能获得最佳性能? 我一直在寻找微软的Storage Spaces设置的硬件指导方针,但我一直无法find任何东西,所以如果有人知道一些请告诉我正确的方向。 我正在考虑使用FreeNAS或另一种基于Linux的替代scheme来设置这些单元,但是我部门的大多数IT专业人员几乎没有Linux经验,如果遇到公交车,他们更愿意使用基于Windows的解决scheme可能。 同样的道理,任何人都知道FreeNAS或其他Linux NAS备选schemeVS的性能比较。 Windows Server 2012 R2存储空间?
我正尝试使用Windows Server Backup在我的新服务器上备份RAIDarrays。 但是,当我这样做,我遇到了这个错误: 服务器运行的是Windows Server 2012 R2,相关arrays的大小为20TB(可用18TB); 目前正在使用不到1TB。 我知道,在Windows Server 2008中,由于VHD的限制,无法备份大于2TB的卷,但现在Microsoft已经切换到VHDX,因此可以备份64TB卷。 我也知道,为了利用这一点,有问题的驱动器必须是GPT。 我已经确认我的磁盘实际上是GPT。 当我运行Windows Server Backup时,我正在使用“备份一次”选项并备份到networking驱动器。 我也使用我认为是标准设置。 但是,当我尝试运行备份时,出现上面显示的错误。 我不知道为什么这是16.7TB,因为Windows服务器备份可以备份高达64TB的卷。 谁能给我一些见解,为什么这可能会发生,或者我可能做错了什么? 更新:我已经收到新的驱动器,并再次创buildarrays,但我仍然得到相同的错误。 我可以确认我的群集数量在2 ^ 32以下。 我在这个问题上读到,显然Windows备份不支持备份到512或512e字节扇区的磁盘。 看着我试图备份的文件共享,它使用4k扇区。 这可能是潜在的问题吗? 如果有帮助,我试图备份的份额被托pipe在CentOS服务器上。
我创build了一个用户pipe理员,并把这个用户放在pipe理员组(本地,没有AD)。 但是,此pipe理员用户与pipe理员用户本身的权限不同。 示例1:文件由SYSTEM拥有,Administrators组具有完全控制权。 如果我尝试将用户的权限添加到此文件,则不适用于pipe理员用户。 与pipe理员是没有任何问题的作品。 示例2:对于pipe理员,将IE增强安全configuration设置为OFF,对于用户为ON。 对于pipe理员来说,这是好的,对于pipe理员用户来说,它仍然是。 这是一个configuration问题? 如果是这样,我需要做些什么才能使其正确?
这个问题是参考@ SwiftOnSecurity的Twitter线程: https ://twitter.com/SwiftOnSecurity/status/655208224572882944 通过线程阅读后,我仍然不明白为什么你想要禁用本地帐户的networkinglogin。 所以这就是我在想什么,请纠正我在哪里我错了: 假设我有一个AD和一个DC和多个客户端。 其中一个客户是John。 所以在早上,John开始工作,用AD证书login到他的台式电脑。 中午,约翰出去开会,“锁住”他的电脑(windows + L)。 然后,他需要使用个人笔记本电脑远程连接到他的个人电脑(通过RDP或其他)。 但是,使用这个新的政策,他将不能这样做。 Securitay给出的解释是密码不被腌制。 但是,在这种情况下,攻击者将如何获得访问权? 密码不被腌制到哪一端? 或者我脑海中的情况与她想说的完全无关? 如果是这样,她究竟想说什么?
我的问题是组策略不适用于客户端刚引导时。 直接引导后,客户端在源“GroupPolicy(Microsoft-Windows-GroupPolicy)”事件日志和事件ID 1058:“组策略处理失败[…]”的事件日志中发布错误消息。 在Details选项卡中,ErrorCode是50,代表ERROR_NOT_SUPPORTED。 这不仅仅是一个表面上的问题:这些策略确实没有得到正确应用:例如,映射的networking驱动器不在那里。 等待一段时间后,执行“gpupdate”工作,策略正常应用:映射的networking驱动器出现。 我能够重现该问题的最简单的情况:在新安装的Windows Server 2012 R2上新创build的域,客户机是新安装的Windows 10 64位机器。 该域由一个域控制器组成,与其他域没有任何关系。 由于错误消息指出Windows无法从域的Sysvol共享中读取.GPT文件,我试图从命令提示符访问相同的文件。 事实上,当我开机后立即打开一个命令提示符,我得到这个: C:\Users\username>dir \\domain.example.com\sysvol The request is not supported. 等待一两分钟后,执行相同的命令会给出一个目录列表。 在这一点上运行gpupdate将会正常工作。 我没有设置组策略设置“始终等待networking在计算机启动和login”为“已启用”,并且我知道这个策略是适用的:在同一个策略对象中指定了一个registry设置,当我检查registry在客户端指定的设置在那里。 其他可能相关的因素: NTLM在域中受到限制,但这似乎并不重要:即使在启用它之后,更新策略并重新启动所有机器,症状仍然相同。 服务器是使用DHCP还是使用静态configuration来configuration并不重要。 域的DNS服务器不支持dynamic更新。 必要的logging手动添加(从C:\ Windows \ System32 \ config \ netlogon.dns) hibernate状态在客户端被禁用(使用powercfg /h off ),因此每次启动都是完全启动,而不是快速启动 策略启动策略处理等待时间设置为120秒 与DC的连接正常工作。 坪将工作。 closures客户端,在AD中禁用我的帐户,打开客户端将导致客户端不能login我的帐户:它会立即注意到帐户被禁用。 除了这个问题,我没有注意到任何不寻常的事情。 这似乎是一个中小企业问题比组策略问题。 在服务器端嗅探连接显示了一些有趣的事情:第一次执行命令dir \\domain.example.com\sysvol ,DC上的Microsoft Message Analyzer中显示以下内容: 客户端build立到DC的端口445的TCP连接,并且成功执行ComNegotiation(DialectRevision:0x02FF)。 紧接着,一个谈判成功执行。 DialectRevision是0x0302。 […]
我有一个(WS2012-R2)域控制器和一组(WS2012-R2)服务器是域的成员。 我不小心添加了一个组,所有pipe理员都是组策略“本地拒绝login访问”,“拒绝login为服务”,“拒绝远程访问”和“拒绝networking访问”的成员。 这导致我和所有其他pipe理员(即使是内置帐户)被locking在域控制器之外。 有没有办法通过删除GPO或从组中删除pipe理员帐户来重新获得对服务器的访问权限?
我试图从Windows Server 2012 R2机器中删除他们的Hyper-Vangular色。 当试图通过“添加angular色和function向导”,这个checkbox是灰色的,它不会让我取消它,因此不会允许我卸载此angular色。 这在2008年和2008年R2是一个简单的过程。 不知道发生了什么变化。
我们有一个非常小的(5个工作站)networking,一个Windows Server充当域控制器,DHCP和DNS服务器。 所有的设备连接到一个标准的交换机,而交换机又连接到一个标准的宽带调制解调器。 每个工作站的TCPnetworking设置是: 192.168.0.50是DNS服务器的IP地址。 192.168.0.1是调制解调器网关的IP地址8.8.8.8是Google的公有DNS服务器 这是一个很好的计划吗? 在这个列表中是否包含调制解调器的IP? 我注意到Windows DNS服务器正在接收和caching公共网站的请求。 Google DNS服务器是否应该在名单上更高?
在testing环境中,由于Windows拒绝信任我们在我们的自签名证书,因此我目前正在testing一些需要很快部署的事情(实际上已经是事实,但是您知道截止date将如何…)孤立的testing环境。 虽然我可以用“真正的”证书和一些DNS技巧来解决这个问题,但是出于安全/条块分割的原因,我没有证书。 我试图连接到一个名为Zimbra的基于Linux的电子邮件服务器; 它使用自动生成的自签名OpenSSL证书。 虽然谷歌已经特别提到的页面是指具有IIS自签名证书的IIS网站,但我认为生成它的方法并不重要。 根据我在这里和这里find的说明,这应该是将证书安装到本地计算机的受信任根证书颁发机构存储中的一个简单问题。 我所做的,以及手动复制证书,并通过MMCpipe理单元直接导入。 注销和重启不会改变任何东西。 这是我每次获得的证书错误: 这里是authenticationpath(扰stream板:它只是证书本身): 最后,证书安全地藏在本地计算机的证书存储区中,正如我发现的说明应该是这样: 这些指令特别引用了Vista(当然,第二个没有提到OS)和IIS,而我正在使用Server 2012 R2连接到基于Linux的服务器; 在导入向导中有一些不同之处(比如我可以select导入当前用户或本地系统,虽然我已经尝试了两种),所以也许有一些不同之处,我必须在这里做? 一个地方的设置,我没有发现,必须改变,使它真的相信我已经告诉它信任的证书? 使Windows Server 2012 R2信任自签名证书的正确方法是什么?