Questions tagged «windows-server-2012-r2»

Windows Server 2012 R2是Microsoft的服务器操作系统。它于2013年5月31日发布。它在其前身中进行了许多重大更改,并大大简化了可用版本的数量,该版本最多可分为四个版本:Foundation,Essentials,Standard和Datacenter。

2
概述Windows Small Business Server(SBS)的怪癖
我不是Microsoft管理员。但是,我确实在新的和现有的Microsoft Exchange部署中进行了大量工作。那就是职业弧线的去向。 我正在与一个15位用户的小客户合作,他们对本地的“ PC小伙”不满意。他们要求我在几次系统中断期间介入。我在今天早晨的“我们无法访问互联网”紧急情况中注意到的一件事是,客户端在本地安装了Windows SBS 2011服务器。 流氓DHCP服务器意外地在电话系统上启动,并且SBS DHCP服务实际上关闭了自身。我从来没有见过这种情况发生在普通的Windows Server上,因此造成了一些停机和混乱。 DHCP的主要作用域看起来有些奇怪,因为它定义了整个/ 24子网,但排除了大量子网。本地PC资源表示必须采用这种方式进行配置,否则“ SBS将无法工作...” 似乎已经创建了许多有趣的OU。主要在父级“ MyBusiness”下。 Exchange邮件非常复杂,桌面用户需要POP3和MAPI帐户,而入站邮件将发送到非现场服务器。我可以解决这个问题,但是还偶然发现Exchange甚至没有获得许可。该服务器已经生产了3年,但这似乎是一个配置问题。 我的建议是即使对于10个用户的企业,也要避免使用Small Business Server之类的东西。但是,这种意见是由于对SBS和传闻不甚了解而形成的。我想更清楚地了解缺点/缺点。 是否有任何其他的怪癖,我应该做出的情况下,给客户的过程了解多少? 由于不是有与SBS相关的这么多奇怪的行为和限制,什么是预期的或理想的使用情况的SBS部署? 假设可以部署一组新的Windows Standard 2012r2服务器,从SBS迁移是否有任何重大警告?
5
为什么Windows 2012 R2不信任我的自签名证书?
在测试环境中,由于Windows拒绝信任我们拥有的自签名证书,我目前无法进行一些需要尽快部署的事情(实际上已经,但是您知道截止日期如何...)。孤立的测试环境。尽管我可以通过“真实”证书和一些DNS技巧来绕开问题,但是出于安全性/隔离化的原因,我没有提到该证书。 我正在尝试连接到名为Zimbra的基于Linux的电子邮件服务器。它正在使用自动生成的自签名OpenSSL证书。虽然Google专门打开的页面是指具有IIS自签名证书的IIS网站,但我认为生成它的方法实际上并不重要。 根据我在此处和此处找到的说明,这很简单,只需将证书安装到本地计算机的“受信任的根证书颁发机构”存储中即可。我已经完成了这些工作,以及手动复制证书并通过MMC管理单元直接将其导入。注销和重新启动不会更改任何内容。 这是我每次都收到的证书错误: 这是“认证路径”(破坏者:这只是证书本身): 最后,这是安全存放在本地计算机的证书存储区中的证书,与我发现的说明完全一样: 当我使用Server 2012 R2连接到基于Linux的服务器时,这些说明专门针对Vista(嗯,第二个没有提及OS)和IIS。导入向导中有一些差异(例如,尽管我已经尝试了两者,但我的选项可以为当前用户或本地系统导入),所以也许在这里我需要做些不同的事情吗?我尚未发现的某个设置必须进行更改才能使其真正信任我已经告诉它信任的证书? 使Windows Server 2012 R2信任自签名证书的正确方法是什么?
2
如何防止Windows Server将域控制器的外部IP地址添加到DNS中?
在我的一个域控制器上,有两个网络接口-一个具有IPv4和IPv6地址的外部接口和一个具有10.xxx地址的内部接口。 域控制器安装了RRAS(与Azure进行VPN站点到站点),DNS和DHCP。它与位于Azure VM中的第二个DC复制。 由于某种原因,服务器会自动为所有三个IP地址添加DNS条目。如果我删除两个公开的,则过一会儿再回来。网络连接属性未选择“在DNS中注册此连接的地址”。 我遇到的问题是,由于AD复制试图连接到错误的IP(说明RPC服务器不可用),因此它会中断。如果删除错误的地址后手动启动复制,复制将成功完成。 如何防止服务器在DNS中注册外部地址?
2
这些DNS设置是一个好主意吗?
我们有一个非常小的网络(5个工作站),其中一个Windows Server充当域控制器,DHCP和DNS服务器。所有设备都连接到标准交换机,而标准交换机又连接到标准宽带调制解调器。 每个工作站的TCP网络设置为: 192.168.0.50是DNS服务器的IP。 192.168.0.1是调制解调器网关的IP 8.8.8.8是Google的公共DNS服务器 这是一个好计划吗?列表中是否包括调制解调器的IP?我注意到Windows DNS服务器正在接收和缓存对公共网站的请求。Google DNS服务器应该在列表的上方吗?
2
如何摆脱“您是否信任此打印机”消息框并通过GPO添加我的打印机?
工作站:Windows 7(x64)[打印机的安装目标] 伺服器:Windows Server 2012 R2(x64)[Active Directory,列印伺服器] 我一直在ash头,试图通过组策略安装此打印机!出于某种原因,我根本无法将此打印机与GPO一起部署。我试图通过了设置它来部署Computer Configuration->Policies->Windows Settings->Deployed Printers,以及Computer Configuration->Preferences->Control Panel Settings->Printers和User Configuration->Preferences->Control Panel Settings->Printers。我还尝试通过“打印服务器管理”控制台通过用户和/或计算机目标添加它。我尝试了所有方式,但没有任何效果。我遵循了一堆教程,并观看了一堆视频,只是为了确保我没有错过任何东西,但这实际上是一个简单的任务(从理论上来说)……这是行不通的。 在尝试调试问题时,我发现如果我去\\myserver\打印机并双击打印机,它将尝试安装打印机,然后提示我安装带有UAC类型提示的驱动程序。 我已经尽力想让该消息框停止弹出。我对其进行了研究,发现如果我要编辑Point and Print Restrictions位于Computer Configuration->Policies->Administrative Templates->Printers和处的GPO ,User Configuration->Policies->Administrative Templates->Control Panel->Printers可以尝试将策略设置为Disabled或,Enabled然后选择Do not show warning or elevation prompt策略设置底部列出的两个安全提示。 好吧,那也是半身像... 我确实发现,如果尝试通过转到unc并输入我的管理员凭据来手动安装打印机,它将从服务器下载驱动程序并安装打印机(如预期的那样)。如果用户尝试删除打印机并且以某种方式成功完成操作,那么他们注销并重新启动GPO就会立即执行我想要的操作,然后重新添加打印机。但是它要求我在每台PC上第一次手动添加它。 测试完之后,然后从GPO中删除打印机,然后注销并再次登录。我可以运行该命令printui /s /t2以打开一个GUI,该GUI使我可以轻松删除已安装的驱动程序,以将PC恢复到其原始状态(要求管理员凭据)。我还了解到的另一件事是打印机存储在位于的注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections。当我尝试删除打印机时,它告诉我不能删除该打印机时,我只是转到该注册表项,然后删除了要删除的打印机的GUID密钥。然后刚刚重新启动了后台打印程序服务,它的繁荣就消失了。这无助于我到达所需的位置,但在调试问题期间有助于卸下打印机。 我在某处读到,也许原因是某种类型的Windows安全更新更改了某些内容。之所以发布它,是因为有一篇文章显示了如果您能够拥有一台打印机,那么如何拥有整个网络。当用户连接到打印机并下载驱动程序时,它会安装注入的软件并在机器上运行,等等。 我的主要目标是能够使用我正在使用的GPO在该OU中将该打印机部署到一组用户。但是,我尝试执行的所有操作都要求管理员登录(至少是第一次)。有谁知道为什么我的打印机无法通过GPO自动添加自身,以及如何获得“您是否信任此打印机”的信息?消息消失?
7
如何在不访问域(控制器)的情况下删除组策略?
我有一个(WS2012-R2)域控制器和一组作为该域成员的(WS2012-R2)服务器。我不小心将一个组的所有管理员都加入了组策略“本地拒绝登录访问”,“作为服务拒绝登录”,“拒绝远程访问”和“拒绝网络访问”。这导致我和所有其他管理员(甚至是内置帐户)被锁定在域控制器之外。 是否有办法通过删除GPO或从被拒绝的组中删除管理员帐户来重新获得对服务器的访问权限?
2
为什么要禁用本地帐户的网络登录?
该问题是针对@SwiftOnSecurity的Twitter线程的:https ://twitter.com/SwiftOnSecurity/status/655208224572882944 阅读完该线程后,我仍然不太明白为什么您要禁用本地帐户的网络登录。 所以这就是我的想法,请在错误之处纠正我: 假设我有一个具有DC和多个客户端的AD。客户之一是约翰。因此,早上,约翰开始工作,并使用AD凭据登录到台式机。中午,John出去开会,并“锁定”他的计算机(Windows + L)。然后,他需要使用个人笔记本电脑远程(通过RDP或其他方式)连接到办公室的PC。但是,使用这项新政策,他将无法做到。 Securitay给出的解释是密码不固定。但是,在这种情况下,攻击者将如何获得访问权限?密码不固定在哪一端?还是我心目中的情况与她想说的完全无关?如果是这样,她实际上想说什么?
4
Windows 10:组策略在启动后无法直接应用,以后会成功
我的问题是重新启动客户端时未应用组策略。引导后,客户端立即在事件日志中以源“ GroupPolicy(Microsoft-Windows-GroupPolicy)”和事件ID 1058发送错误消息:“组策略处理失败。[...]”。在“详细信息”选项卡中,ErrorCode为50,代表ERROR_NOT_SUPPORTED。这不仅仅是表面上的问题:策略实际上没有正确应用:例如,映射的网络驱动器不存在。等待一会儿后,执行“ gpupdate”将起作用,并且策略将正常应用:显示映射的网络驱动器。 我能够重现该问题的最简单方案是:在新安装的Windows Server 2012R2上新创建的域,客户端是新安装的Windows 10 64位计算机。该域仅由一个域控制器组成,与其他域没有任何关系。 由于错误消息指出Windows无法从域的Sysvol共享中读取.GPT文件,因此我尝试从命令提示符下访问相同的文件。确实,当我在启动后立即打开命令提示符时,得到以下信息: C:\Users\username>dir \\domain.example.com\sysvol The request is not supported. 等待一两分钟后,执行同一命令将显示目录列表。此时运行gpupdate就可以了。 我确实将组策略设置“始终在计算机启动和登录时等待网络”设置为“启用”,并且我知道已应用此策略:在同一策略对象中指定了注册表设置,当我检查注册表时在客户端上有指定的设置。 其他可能相关的因素: NTLM在域中受到限制,但这似乎无关紧要:即使启用它,更新策略并重新启动所有计算机,其症状仍然相同。 服务器是使用DHCP配置还是使用静态配置都没有关系。 域的DNS服务器不支持动态更新。手动添加了必要的记录(从C:\ Windows \ System32 \ config \ netlogon.dns) (使用powercfg /h off)在客户端上禁用了休眠模式,因此每次引导都是完全引导,而不是快速引导 策略启动策略处理等待时间设置为120秒 与DC的连接正常。ping通即可。关闭客户端,在AD中禁用我的帐户,再打开客户端将导致客户端无法登录我:它立即注意到该帐户已被禁用。 除了这个问题,我没有发现任何异常。 这似乎更多是SMB问题,而不是组策略问题。嗅探服务器端的连接显示出一些有趣的东西:第一次执行命令时dir \\domain.example.com\sysvol,DC上的Microsoft Message Analyzer显示以下内容: 客户端建立到DC的端口445的TCP连接,并且成功执行了ComNegotiation(DialectRevision:0x02FF)。 此后,立即成功进行了协商。DialectRevision为0x0302。 此后,客户端立即使用TCP RST(??)关闭TCP连接。 以后每次我发出命令并收到错误消息时,都会发生步骤2和3。 当该命令开始起作用时,将执行步骤1和2,但是不是客户端发送TCP RST,而是执行SessionSetup,而是执行TreeConnect,然后发生大量(看似正常)SMB聊天。 因此,客户端似乎无法以某种方式在引导后一两分钟后才与DC正确地对话SMB,这会导致组策略处理失败。 有人知道我该如何调试和解决此问题?
1
无法在Active Directory中移动OU(访问被拒绝)
背景 我今天尝试在Active Directory中移动OU并收到“ 访问被拒绝”错误。 在进一步检查我的AD用户帐户后,我获得了移动对象的必要权限(我对正在使用的OU拥有完全权限),并且在我的IT生涯中,我多次在AD中移动了物品;这让我现在还是第一次遇到这个有点奇怪。 我尝试了什么 向我的个人AD用户帐户授予特定OU的权限,而不仅仅是AD安全组,我是其中一部分,已经对OU拥有了权限 使用域管理员帐户尝试移动 重置我的用户帐户密码,然后注销然后再打开并打开AD并移动OU 尝试连接到其他域控制器并执行移动 尝试通过安装了RSAT的其他服务器连接到AD并执行移动 所有这些都以失败告终。 问题 当我对两个OU都具有完全权限时,为什么不能将Active Directory中的OU移到另一个OU?
5
如何在Windows Server 2012中查找4625事件ID的来源
我的事件日志中有很多审计失败,事件ID 4625和登录类型3。 是我的服务器(内部服务或应用程序)出现此问题吗?还是这是蛮力攻击?最后,我如何找到此登录的来源并解决问题? 这是“常规”选项卡中的详细信息: An account failed to log on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: aaman Account Domain: Failure Information: Failure Reason: Unknown user name or bad …
2
Windows Server 2012-通过Web访问从外部地址访问RDS
我有一个很奇怪的问题。我正在天蓝色地设置RDS服务器以进行概念验证。我发现,如果我使用通过azure(xxxx.cloudapp.net/RDWeb)提供的外部URL进行Web访问,则可以很好地登录,甚至在任务栏中看到小的弹出窗口也可以表示我已经连接了,但是该页面显示没有可用的remoteapps-好像还没有发布过。 如果我修改主机文件以将外部IP地址视为具有内部dns名称(xxx.domain.local等),然后使用该地址访问RDWeb,则它可以正常工作。我可以访问remoteapp目录,选择一个应用程序并运行它,没有任何问题。 我已经尝试了所有我能想到的一切,包括设置了以前未安装的rds网关,但是没有任何区别。有人有见识吗?
3
Server 2012 R2 Active Directory域SRV dns记录突然消失
我有一个最近配置的测试域。突然之间,只有具有缓存凭据的用户才能登录。该域包括两个域控制器,这两个域控制器都是相互复制的全局编录。 在调查了该问题之后,我发现所有_mcdcs域记录都在两个DNS服务器上完全消失了。由于无法解析诸如_ldap和_kerberos之类的SRV记录,因此无法定位域控制器。 我不太确定这是怎么发生的...清除DNS缓存或DNS清除会导致这种情况吗? 此时,我需要以某种方式还原记录。我查看了另一个域的设置,看起来它们可以手动重新创建...但是我注意到某些DNS记录中似乎包含SID名称...而且我不知道需要使用什么标识符用于重新创建它们。 有没有一个更好的过程可以用来摆脱这种情况?
2
如何通过PS远程会话在服务器核心上启动Windows Update?
当我通过Windows Server 2012 R2 Core计算机上的远程桌面登录时,可以通过运行sconfig.cmd触发Windows更新。但是,在PS远程会话中调用它时,此操作将失败: Enter-PSSession -ComputerName server2 这就是sconfig抱怨的地方。它基本上说它找不到特定的注册表值。有趣的是,Microsoft选择VBScript而不是PowerShell来对该CLI接口进行编程。 [server2]: PS C:\> sconfig C:\>echo off sconfig : FEHLER: Der angegebene Registrierungsschl?ssel bzw. Wert wurde nicht gefunden. + CategoryInfo : NotSpecified: (FEHLER: Der ang...nicht gefunden.:String) [], RemoteException + FullyQualifiedErrorId : NativeCommandError Microsoft (R) Windows Script Host, Version 5.8 Copyright (C) Microsoft …
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.