Questions tagged «windows»

（经过编辑以匹配答案作者的理解-此处发布了新的，干净的新问题：Active Directory + Google Authenticator-Windows Server中的本机支持？） 到目前为止的研究 有一篇technet文章，介绍如何将Google身份验证器与Active Directory联合服务（AD FS）结合使用：https : //blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time在ad-fs-3-0中进行多重验证的密码/ 奇怪的是，它似乎是开发项目，需要一些代码和自己的SQL DB。 我们在这里不专门讨论AD FS。当您使用2FA时，我们希望它可以支持AD中内置的Google Authenticator RFC。

10 windows  active-directory  authentication 

我们计划自动为构建基础架构创建VM，以便我们能够： 根据需求扩展构建资源，例如，在需要时添加更多构建代理，在不需要时将其删除 如果/当机器死机时，重新创建全部或部分构建环境 当我们需要测试设置时，复制构建环境 此过程中的步骤之一是自动创建VM基本映像（在我们的示例中使用Hyper-V）。为此，我们有一个脚本： 使用Convert-WindowsImage脚本从ISO创建新的VHDX 。我们目前正在使用Windows 2012R2，但将在2016年推出时尽快开始使用。 使用我们需要的所有基本配置将无人参与脚本添加到新的VHDX 使用Apply-WindowsUpdate脚本用最新的Windows补丁更新VHDX 基于VHDX创建新的Hyper-V VM并启动它 等待虚拟机启动，等待WinRM服务准备好接受远程连接 等待Windows完成初始配置和新补丁的配置 应用其他补丁 重新启动以完成最新补丁程序的配置 等待Windows完成补丁配置 将sysprep脚本推送到计算机并调用该脚本。这将运行sysprep，然后关闭计算机 删除VM但保留VHDX 从VHDX删除sysprep和无人参与文件，然后压缩VHDX 将VHDX移动到模板位置并标记为只读 我们遇到的问题在步骤6和9中。理想情况下，在重新启动/关闭计算机之前，我们等待所有配置完成，但是似乎无法检测到Windows已完成配置阶段。 通过UI时，很清楚什么时候完成了任何一个步骤，因为只有在过程准备好之后，登录UI才会显示。但是，当使用WinRM远程连接到计算机时，这不太清楚，因为WinRM可以在完成配置工作之前提供对计算机的访问权限。 因此，问题是，通过Windows已经完成配置更新等的远程连接检测的最简单方法是什么，以便我们可以重新启动/关闭计算机而不会在以后引起问题。 ------编辑----- 最后，我们使用的是Katherine答案的修改版本，因为我们的脚本还会等待windeploy并ngen完成。鉴于要ngen等到操作系统完成初始化工作后，才能完成工作，而且作为奖励，最终的VHDX将具有ngen-ed的所有.NET框架，这意味着我们在创建新的.NET框架时无需进行处理。模板磁盘的虚拟机。如果有人感兴趣，我们用于创建VHDX模板的脚本和用于创建本地测试环境的脚本都位于github上。

10 windows  unattended  winrm 

我需要在连接到AD的Windows 7 Enterprise计算机上远程执行kill-switch。具体来说，我需要 无需可见的用户交互即可远程访问计算机（我有一个域帐户，该帐户是计算机上的管理员） 使其无法使用机器（崩溃/重新引导并且不重新引导） 保留机器的内容（能够记录更改的内容） 机器必须损坏得足以使基本故障排除失败，并要求将其带到公司服务台。 为了预料到评论：我知道这听起来很可疑，但是在公司环境中，此操作是必需的，经过授权的和合法的。 来自Unix背景，我不知道在Windows计算机上远程可行的方法。理想情况下（再次考虑到Unix背景），我会考虑以下操作 擦除MBR并强制重新启动 拔出钥匙。dll不会在安全启动期间自动恢复的s 编辑以下评论：这是一个非常特殊的取证案例，需要通过这种复杂的方式进行处理。

10 windows  windows-7  remote-access  forensics 

正如标题所问，我的基本问题是：在ESXi环境中使用EFI固件和GPT引导磁盘是否有任何明显的优点（或缺点）？“值得注意”是指除MBR磁盘的众所周知的2 TB限制以及BIOS引导固件必须使用MBR磁盘进行引导的限制以外的任何内容。 特定的VM选项在下面的屏幕快照中。 如果有所作为，下面是我特定环境的一些背景和细节，尽管我对一般情况以及与Windows环境特别相关或仅与Windows环境有关的任何内容都感兴趣。 由于最近的一些项目，我成功地将$ [day_job]的公司霸主拖入了当前的十年，我将替换很多家庭办公系统。这些系统以及将要替换的系统主要是在ESX 5.5上虚拟化的Windows Server操作系统（现在更新为1，即将更新为更新2，而VMFS5是这么大的支持）。VM及其访问的所有存储都在SAN（EMC VNX 5400）上，该SAN通过NFS共享提供给ESXi主机。一切都是精简配置。 在大多数情况下，我只是将一堆大型，复杂的PITA系统升级到较新的平台-例如，当前在Server 2003 R2上运行但不使用DFS的多TB文件服务器将升级到Server。将2012 R2放入DFS命名空间，使用DFS复制，然后开始使用Server 2012 Data Deduplication。当前在Server 2003 R2和SQL Server 2005上运行的SharePoint系统将升级到运行Server 2012 R2的SharePoint 2013，并安装在2008 R2或更高版本的SQL Server引擎上。等等。 在研究文件服务器以及如何处理它们上的数据量（我们的每个家庭办公文件服务器中的数据都超过2 TB）时，我研究并确定了Server中的重复数据删除功能2012年。由于这是基于每个卷的，因此，如果所有数据都是一个卷，则最好是最好的方法，而不是像我们当前的混乱情况那样拆分成多个卷。这提出了最适合我们数据量的GPT磁盘问题，并使我想到了EFI与BIOS固件的问题。我们的服务器都具有50 GB的OS [虚拟]磁盘，这些磁盘与任何数据卷都是分开的，至少目前，我正计划保持这种方式-能够将数据卷附加到新VM上非常有用。 因此，考虑到这一点，我无法想象这样一种情况：我们曾经需要或希望VM从超过2 TB MBR磁盘限制的GPT卷启动。环境是纯虚拟的事实似乎抵消了GPT磁盘的可恢复性优势，因此我无法提出任何令人信服的理由开始使用EFI引导固件和/或GPT引导卷构建新的VM。当然，我也无法提出任何令人信服的理由来坚持使用BIOS引导固件和MBR磁盘，因此，我的问题是： 在ESXi环境中使用EFI固件和GPT引导磁盘是否有任何明显的优点（或缺点）？（“值得注意”是指除MBR磁盘的众所周知的2 TB限制以及BIOS引导固件必须使用MBR磁盘进行引导的限制以外的任何内容。）

10 windows  vmware-esxi  hard-drive  gpt 

为什么当我复制文件（Windows资源管理器复制，粘贴）时，我从使用命令提示符中的“ net use”命令映射的驱动器中获得约100KB / s的传输速率，而当我获得25-50MB / s的传输速率时，使用Windows资源管理器映射驱动器？这两种会影响传输速度的方法有何不同？ 特定条件/环境： 共享服务器：Windows 2012R2，已通过CIS基准测试锁定，网址为http://benchmarks.cisecurity.org/downloads/show-single/?file=windows2012R2.110 设置已被服务器所属的域控制器上的组策略锁定。 共享服务器连接到同一网络上的域控制器，我们将其称为“ mydomain.local” 服务器连接到共享：Windows 2008R2，远程位置，不同的域，我们称其为“ mydomain.remote” 删除所有CIS建议设置，可使两种类型的网络驱动器映射的速度都更快。 连接服务器和共享服务器位于两个不同的数据中心，通过互联网连接 无论使用哪种连接（网络使用/ Windows资源管理器），都将提供相同的凭据。我们将此帐户称为：mydomain.local \ myuser 因此，我认为速度很慢（http://jrs-s.net/2013/04/15/windows-server-2012-slow-networksmbcifs-problem/），但我不知道为什么会这样取决于是否使用“网络使用”而不是Windows资源管理器。

10 windows  networking  server-message-block  share 

从Linux ISC DHCP迁移时，我正在帮助客户端完成配置Windows 2012 DHCP服务器的过程。 在“ Windows 新建范围向导”对话框中，有一个选项可以： ...指定要由示波器分发的路由器或默认网关（多个）。 我的客户问何时将多个默认网关分配给DHCP客户端才有意义... 我没有一个好的答案。因此，我很好奇何时/是否适合使用此功能，它是否在很大程度上取决于某些客户端系统（例如Windows PC）？我想听听有关实际情况的信息。

10 windows  networking  windows-server-2012  dhcp 

我已经在组策略中配置了BitLocker和TPM设置，以便设置所有选项并将恢复密钥存储在Active Directory中。我们所有的计算机都运行带有标准公司映像的Windows 7，并在BIOS中启用并激活了它们的TPM芯片。 我的目标是做到这一点，以便用户只需单击“启用BitLocker”就可以了。Microsoft甚至提供了可以通过脚本部署的自动化示例。但是，要使此过程顺利进行，有一个小的障碍。 在GUI中，当用户启用BitLocker时，必须使用自动生成的所有者密码初始化TPM。但是，将向用户显示恢复密码，并提示他们将其保存到文本文件。我似乎无法隐藏此对话框，因此无法跳过该步骤。由于密钥已成功备份到AD，因此这是不需要的（也是不必要的）提示。 如果对部署进行脚本编写，则在初始化TPM时必须在脚本中提供所有者密码，并且希望以GUI的方式随机生成它。 有什么方法可以使BitLocker部署真正实现我想要的零接触？

10 windows  active-directory  group-policy  bitlocker  tpm 

对于那些不知道的人，CPU停放是最新的Windows Server版本中的一项功能，该功能使Windows可以将CPU内核几乎降为零使用，而没有使用它。引入它是一种省电措施。除了其他地方，这里还有更多详细信息。 但是，我很好奇的是，这是在虚拟客户机上发生，还是CPU停车更多的是障碍而不是帮助，因为物理CPU是由ESXi（而不是Windows）管理的，而驻留的CPU不太可能除非调度程序认为有足够的工作来释放CPU，否则如何处理流量？ 我对此一无所获-我确实怀疑这将很大程度上取决于给定的工作量，但是我没有看到任何讨论（与例如，超线程是否有任何作用，似乎已经定期讨论了） ）。虽然我确实了解“用您的工作量进行测试”，但我想知道是否有我遗漏的任何建议/准则。

10 vmware-esxi  windows  central-processing-unit 

我有一个运行Windows Server 2008 R2的DL380 G5，它仅应用了两个更新包，因此，我有几个不再可用的关键组件。应用的更新包是- HP ProLiant服务器固件2014.04.0 HP Windows Server 2008 R2 x64软件2014.04.0 我真的无法提出一个通用线程来找出哪个驱动程序/固件更新会导致此问题。我已经尝试过回滚或重新更新某些设备（例如HP NC373i）的驱动程序，但没有区别。我将附上一张颗粒状的屏幕截图，其中显示了问题的少量组件，并且希望听到您提出的一些建议，以解决这一问题。 UPDATE：这是一个恶性的小问题，但我想我可能已经发现了一些信息说会帮我解决这个问题。如果有机会，我会更新的。 更新2：尽管我发现的问题（在第一个UPDATE中链接）是由类似原因引起的，但最终并没有成为我的确切问题。设备管理器中列出的带有黄色警告符号的所有组件均显示消息“ Windows无法为此硬件初始化设备驱动程序（代码37）”。没有多少驱动程序的卸载/重新安装会有所不同。我开始认为这些硬件更新实际上已被废弃。在这一点上我非常绝望，所以请随意提出任何想法。 更新3：此服务器似乎已被破坏。我进行了一次完整的主板更换，发现我的固件闪存或其他设备损坏，并且看到与新主板完全相同的组件。我强行应用了最新的HP SPP驱动程序，没有任何变化。如果没有其他人有任何想法，我想我很不幸。

10 windows  hp-proliant  drivers 

你想做什么？ 我正在尝试在具有约一百个陈旧DNS记录的DNS区域上启用DNS清除。 您尝试了什么来实现它？ 我为每个人最喜欢的TechNet博客文章设置了DNS清除：不要害怕DNS清除。耐心一点。 首先，我在所有域控制器上禁用了清除功能： DNSCmd . /ZoneResetScavengeServers contoso.com 192.168.1.1 192.168.1.2 然后，我在DNS区域上启用了自动清除功能： 然后，我在其中一个域控制器上启用了DNS清除： 然后，我找到了几年前希望通过timstamps删除的一些记录，并确保Delete this record when it becomes stale确实设置了时间戳记和时间戳记： 最后，我重新加载了区域并等待了14天（“刷新+不刷新”时间的总和）。 您期待什么结果？ 我希望在DNS服务器日志中看到一个2501事件，指出一堆DNS记录的删除。 实际发生了什么？ 什么都没有发生。区域老化/清除属性显示，该区域可以在上周的6/12/2014 10:00:00 AM之后被清除。没有记录2501/2502事件。所有带有“已老化”时间戳记的记录仍然存在。 在又增加7天达到6/18/2014 10:00:00 AM后可以清除区域的日期。 据我了解，直到该日期至少过去14天，任何东西都没有资格进行清除，更不用说实际清除了。 事件日志中记录的唯一2501个事件是我右键单击并选择“清除陈旧资源记录”而触发的事件。他们指出，清除操作将在今天早上的168小时内尝试再次运行。 我启用了DNS清除功能已有几个月，并且耐心等待发生的事情。我已多次重新加载区域（这会重置此时间戳）。 我在这里想念什么？

10 windows  windows-server-2008  domain-name-system  active-directory 

我试图将无线局域网服务添加到我的服务器中，但是我首先不得不重新启动它，因为它在前一段时间安装了一些更新。重新启动后，出现以下错误： 列出指定服务器上可用功能的请求失败。 服务器管理器： 电源外壳： 我现在应该怎么做？我对Windows Server的使用C＃和其他一些编程语言的经验不是很丰富。

10 windows  windows-server-2012-r2  wifi  local-area-network 

我需要创建一个包含打印机的Active Directory实验室，并测试各种与打印机相关的功能（在AD中添加打印机，将客户端连接到打印机，打印机等） 有没有一种很好的方法来正确模拟网络上的打印机？还是即使最终没有输出，也需要在最终连接的地方安装真正的物理打印机。 您将如何解决这个问题？

10 windows  active-directory  network-printer 

可以将Robocopy配置为仅记录“错误”吗？ 在进行大型复制时，我真的只想知道未复制哪些文件。

10 windows  robocopy 

我拥有Active Directory基础结构，并且所有域控制器都运行WS 2008 R2，并且在架构版本47上运行。 是否可以添加WS 2012域控制器而无需更改域架构？

10 windows  windows-server-2008  windows-server-2012 

TechNet上有很多文章，例如这篇文章说，如果基础架构主机也是全球目录，则幻象对象不会得到更新，但是除此之外，关于此过程中实际发生的事情没有很多深入的信息。组态。 想象这样的配置： |--------------| | example.com | | | | dedicated IM | |--------------| | | | |-------------------| | child.example.com | | | | IM on a GC | |-------------------| 在哪里child有两个都是全局目录的DC，这意味着Infrastructure Master角色在GC上。并且，example在非 GC 的DC上具有三个具有Infrastructure Master角色的DC 。 我了解通常最好只是将所有内容都设为GC，而不必担心这种事情，但是假设情况并非如此- 像这样的设置可以预期的确切错误行为是什么，以及哪个域（ s）这种行为会表现出来吗？孩子还是父母？

10 windows  active-directory  domain-controller