如何讓Windows 2003 file server在原機升級至Windows 2008後,上面的EFS加密檔仍可以存取?

  問題說明: 假設您有一台Windows 2003 File Server透過委派的方式讓用戶端可以將EFS加密檔案上傳至File Server,並且仍保留EFS加密的屬性,您將要將這台Windows 2003原機升級至Windows 2008,並且確保用戶端仍可以遠端正常開啟這些加密文件,該如何作? 您可以參考 http://support.microsoft.com/kb/948690/en-us文件說明,透過實作過程解釋如下:   我的LAB環境總共三台機器,分別為: Machine 1:Windows 2003 DC x1 Machine 2:Windows 2003 File Server x 1 Machine 3:Windows XP Client XP  x 1 1. Machine 1對Machine 2做委派 ,讓Machine 3 的Client可以將檔案copy至Machine 2,並且仍保留EFS加密的屬性。 2. 升級Machine 2至Windows 2008 SP2。(備註) 3. 測試從XP連到Machine 2,確認仍可以開啟文件。 ============= 備註 在升級完至Windows 2008後,您一定要用文件 http://support.microsoft.com/kb/948690 上的工具做一次掃描,用戶端才能正常使用原來的金鑰去解密,原因是: 1….

0

非Domain 用戶端存網路資源取直接報存取被拒

問題描述: 一般用戶存取網路資源,若是當前使用者沒有權限,會另外跳一個視窗可以輸入有權限的帳號密碼,我們遇到的狀況是,當使用者若不是網域的成員,使用本機帳號登入存取DC上的網路resource時直接報Access denied存取被拒 解決: 請檢查DC上Guest 帳號是否為啟動,預設為停用,若為啟用,請停用Guest後可以解決此問題

0

AD帳號"密碼永久有效"修改後自動取消勾選

問題描述︰ 特定使用者勾選 “password never expire issue”後約半小時勾選自動取消 發生原因︰ 當特定使用者隸屬保護群組時會發生這樣的行為 解決方法︰ Windows Server 2003 和 Windows 2000 中的受保護群組: · Administrators · Account Operators · Server Operators · Print Operators · Backup Operators · Domain Admins · Schema Admins · Enterprise Admins · Cert Publishers 根據目前的狀況,以下兩種方式建議 1.讓這些帳號不要隸屬保護群組 2.或是將Account Operators與Server Operators排除保護群組 將Account Operators與Server Operators排除保護群組做法 您可以透過ADSIEDIT.MSC修改 連到CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Domain,DC,COM 例如…

0

SCOM – We are getting Disk transfer (reads and writes) latency is too high alerts.

Symptom ======== We are getting Disk transfer (reads and writes) latency is too high alerts. The Avg. Disk sec/Transfer (LogicalDiskAvg. Disk sec/Transfer) for the logical disk has exceeded the threshold. The logical disk and possibly even overall system performance may significantly diminish which will result in poor operating system and application performance. Causes ======= A…

0

Cannot use “AD authoritative restore” to restore a specific user account

問題描述 ============= 1. A網域的UserA透過ADMT方式轉移至B網域 2. 嘗試於A網域進行授權式還原UserA帳號 3. 還原過程都是成功的,在沒接上網路線的狀況下也可以正常看到該User 4. 接上網路線後會發現此User帳號會自動被刪除   問題原因 ============= 由於ADMT會確保搬移到目的端網域(B網域)的帳號不會同時存在於來源端的網域 所以我們在A網域DC進行授權式還原時 , 只要將DC接回網路線時該帳號就會自動被刪除   替代解決方式 ============= 是於來源網域DC上透過ADRestore.exe此工具將刪除的User帳號來解決此問題   參考資料 ============= Create a Rollback Plan http://technet.microsoft.com/en-us/library/cc974385(WS.10).aspx  

0

為何進行遠端桌面 or 檔案傳輸時常常出現瞬斷

問題情境 ============= 1. 當嘗試使用遠端桌面連接Server 2003時 , 有時後會出現斷線狀況但是過一下子會重新連線 2. 當使用網路芳鄰方式從Server 2003傳送下載檔案時 , 會跳出視窗請您重試 , 按下後會再繼續傳送 , 但試過一陣子可能會在出現   問題原因 ============= 此問題透過網路封包可以發現在斷線的當下 , Server 2003會傳送TCP Reset封包給Client所以導致連線中斷 這種狀況會在下面幾種條件成立時發生 1. 若系統可用的Non-Paged Pool小於8MB時 , 系統會隨機將現有的Connection進行丟棄來釋放資源 (發出Reset封包) 2. 此行為會持續到Non-Paged Pool的可用量大於20MB時才會停止   參考資訊 ============= Description of the new Memory Pressure Protection feature for TCP stack http://support.microsoft.com/kb/974288/en-us

0

iSCSI and Windows Svr 2008/R2 Failover Clusters

iSCSI 目前是 Cluster 架構裡常被應用的一個 Shared Storage Solution,以下是兩個您應該要知道的事項。(Getting things right in the beginning will make everything else down the line easier!!) 1. Use Microsoft MultiPath IO (MPIO) to manage multiple paths to iSCSI storage. Microsoft does not support teaming on network adapters that are used to connect to iSCSI-based storage devices. Microsoft iSCSI Initiator best practices…

0

Windows Svr 2008 R2 – iSCSI Initiator getting "Target Error" message when attempting to connect to iSCSI Target on localhost

SYMPTOM =================== 在 Hyper-V Host (PC1) 上安裝 iSCSI Target 然後接著在 PC1 上執行 iSCSI Initiator 連接本機的 Target 這個做法在我的環境 (如下圖) 跟客戶的環境都會遇到 Target Error 錯誤   CAUSE =================== Loop Back 連線模式在 Windows Server 2008 R2 上是被支援的 但是預設的情況下 Loop Back 連線是關閉的。   RESOLUTION =================== 您需要新增以下機碼並重新開機來允許Loop Back 連線   HKLM\Software\Microsoft\iSCSI Target Value Name: AllowLoopBack Type: REG_DWORD Value: 1 (Default is…

0

如何設定派讓用戶端可以以EFS 對遠端的Server資料加密?

前題: 在預設情況下,您無法對遠端的File server分享的文件做EFS加密。當您做這個動作時,會出現以下的錯誤   如果您希望使用者可以透過網路連到File server上的分享資料夾以EFS加密,您必需要在File Server進行委派的動作。參考步驟如下: 1.在DC上,執行「AD使用者和電腦」 2.找到File Server的物件,右鍵點選此Server,點選「內容」>「委派」。 3.在委派的下方,選擇「信任這台電腦,但只委派指定的服務」以及「只使用Kerberos」 4.點選「新增」,在「新增服務」裏,點選「使用者或電腦」。 5.找到此File Server後,選擇 CIFS和ProtectedStorage ,再點選「確定」。 6.重覆步驟4和5,將DC加進去。 7.按下「確定」。 8.將File Server重新開機即可。 補充說明: 1.若要進行委派,Domain Function Level至少要Windows 2003 Native等級。 2.當成功EFS加密遠端Server的檔案後,其加密金鑰是存放在遠端Server的User Profile。舉例來說,如果我在Client是使用帳戶Eric\test123 登入,連到File Server上加密的話,它會在File Server上建立一個test123的user profile,而加密的金鑰是存放在test123的profile裏。

0