Domain Controller Certificate Enroll/Renew Behavior in Server 2008 DC & Server 2003 DC

  環境 & 問題描述 ============ CA : Server 2008 SP1 Standard OS安裝Enterprise Root CA DC : Server 2008 SP1 DC & Server 2003 SP2 DC Server 2008 DCs本身的憑證 (Domain Controller範本申請的憑證)過期而沒有自動Renew , 但是Server 2003 DC會自行Renew 問題原因 ============ 1. 環境有透過GPO啟動Auto-Enrollment機制 2. 環境CA是Enterprise CA搭配Server 2008 Standard OS , 無法支援V2 憑證範本的Auto-Enrollment功能 解決方式 ============ 方法一 將Enterprise CA移轉至Server 2008 Enterprise OS或是Server…

0

After enable advanced audit of GPO, all regular aduit GPO became invalid

1. 在「本機原則\稽核原則」中的稽核原則以及「進階稽核原則設定」中的稽核原則有何差異? [安全性設定\本機原則\稽核原則] 中的基本安全性稽核原則設定以及 [安全性設定\進階稽核原則設定\系統稽核原則] 中的進階安全性稽核原則設定似乎重疊,但它們以不同方式記錄及套用。當您使用本機安全性原則,將基本稽核原則設定套用至本機電腦時,您是編輯有效稽核原則,因此對基本稽核原則設定所做的變更與 Auditpol.exe 中的設定完全相同。 這兩個位置中的安全性稽核原則設定之間還有一些差異。 [安全性設定\本機原則\稽核原則] 底下有九個基本稽核原則設定,[進階稽核原則設定] 底下則有 53 個設定。[安全性設定\進階稽核原則設定] 中的設定與 [本機原則\稽核原則] 中的九個基本設定處理類似問題,但前者讓系統管理員對要稽核的事件數目和類型有更多的選擇。例如,基本稽核原則對帳戶登入提供單一設定,進階稽核原則提供四個設定。啟用單一基本帳戶登入設定相當於設定所有四個進階帳戶登入設定。相較之下,設定單一進階稽核原則設定並不會產生您不感興趣之活動的稽核事件。此外,如果您啟用基本 [稽核帳戶登入事件] 設定的成功稽核,只會記錄所有帳戶登入相關行為的成功事件。相較之下,您可以對一個進階帳戶登入設定來設定成功稽核,對第二個進階帳戶登入設定來設定失敗稽核,對第三個進階帳戶登入設定來設定成功和失敗稽核,或設定不稽核,視組織需求而定。 [安全性設定\本機原則\稽核原則] 底下的九個基本設定是在 Windows 2000 中引進,因此可用於所有之後發行的 Windows 版本。進階稽核原則設定是在 Windows Vista 和 Windows Server 2008 中引進。進階設定只能用於執行 Windows 7、Windows Vista、Windows Server 2008 R2 或 Windows Server 2008 的電腦上。 2. 基本稽核原則設定和進階稽核原則設定之間有何互動? 基本稽核原則與使用 Windows Server 2008 R2 和 Windows 7 群組原則所套用的進階稽核原則設定不相容。這是因為使用群組原則套用進階稽核原則設定後,目前電腦的稽核原則設定會立即清除,然後才能套用產生的進階稽核原則設定。在使用群組原則套用進階稽核原則設定之後,只能使用進階稽核原則設定,可靠地設定電腦的系統稽核原則。…

0

Windows 2003/Schedule Task failed to start randomly

  Issue: Schedule Task failed to start randomly     Cause: There is a Domain Policy defined for “Logon as batch job”, this settings will overwrite all local account’s right.   Repro Step:   1.      Create a Schedule Task using local administrator account and password 2.      Test run these tasks     3.      Define “Logon…

0

Event 1030 and 1065 error appear at Application log

  Issue: 機器每天都會產生 1030/1065 的錯誤訊息     Cause:   ·         此問題與GPMC介面上的WMI篩選有關, 因為機器的WMI發生問題所以無法執行WMI篩選的工作才出現錯誤     ·         從 WMI控制台確認此台機器WMI的確有問題     Resolution: ·         透過指令的方法重建 WMI Repository (附加檔案: wmi.bat) net stop winmgmt c: cd %systemroot%\system32\wbem rd /S /Q repository regsvr32 /s %systemroot%\system32\scecli.dll regsvr32 /s %systemroot%\system32\userenv.dll mofcomp cimwin32.mof mofcomp cimwin32.mfl mofcomp rsop.mof mofcomp rsop.mfl for /f %%s in (‘dir…

0

使用gpupdate /force嘗試套用GPO時無法正常套用電腦設定 – STATUS_LOGON_TYPE_NOT_GRANTED

問題描述 ================== 使用gpupdate /force嘗試套用GPO時無法正常套用電腦設定 從網路封包內可以看到DC回傳底下錯誤訊息 – STATUS_LOGON_TYPE_NOT_GRANTED   問題原因 ================== 經過確認後此問題是因為Default Domain Controller Policy裡面的安全性設定原則 “從網路存取這台電腦”內沒有Everyone存在所導致 解決方式 ================== 將該原則 – 從網路存取這台電腦” 加入Everyone後於DCs執行gpupdate /force後即可解決此問題

0

如何將憑證CRL發佈到其他IIS Server

  如何將CRL發佈到其他IIS Server 1. 在IIS Server上面新增一個資料夾,如C:\CRL,並將其設定共用,設定成所有人可以完全控制此目錄 (共用 & 安全性都要設定) 2. 在IIS上面的預設網站上新增一個虛擬目錄,並取名為CRL且指向C:\CRL資料夾 3. 設定成Read即可 4. 設定完成後回到CA Server上面打開管理介面,並對Server名稱點右鍵 – Properties,並在Extensions底下點選Add 5. 在Location輸入 file://\\IISservername\CRL\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl , 然後按OK 6. 選擇剛剛新建的CDP並勾選 Publish CRLs to this location & Publish Delta CRLs to this location兩個選項 7. 在次按下Add,並在location輸入 http://xxx.xxx.com/crl/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl , 輸入完按下OK (PS:此時輸入的網址是要外部User可以連接到的才可以) 8. 勾選下面兩個選項並按OK讓其套用 (請按Yes讓它重起服務) 9. 回到CA的管理畫面後,對Revoked Certificate點右鍵 – All Tasks – Publish ,…

0

以get-adgroup PowerShell指令輸出csv檔時,部分欄位值出現異常

問題: 當您以get-adgroup搭配Export-Csv 指令輸出為csv檔時,部分欄位值被變更為 “Microsoft.ActiveDirectory.Management.ADPropertyValueCollection” 原指令: get-adgroup  -filter * -Properties * | select-object name,mail,description,ManagedBy,dlMemSubmitPerms | Export-Csv  c:\adgroup.csv 輸出結果: 修改後的指令: get-adgroup  -filter * -Properties * | select-object name,mail,description,ManagedBy,@{n=”dlMemSubmitPerms”;e={[string]$_.dlMemSubmitPerms}} | Export-Csv c:\adgroup.csv 參考資料: Can’t query some attributes http://social.technet.microsoft.com/Forums/en-US/winserverpowershell/thread/eb58b98b-cd3f-4ad9-b75f-cf50abb80d31 Windows PowerShell Tip of the Week http://technet.microsoft.com/en-us/library/ee692794.aspx

0

How to prevent a computer from running a user logon script in Windows Server 2008

問題描述: You may experience certain situations where you may want to prevent a computer from running a user logon script. For example, you may want to do this when a terminal server hosts a special environment for a forest. A. KB 924034於server 2008也適用 (此為未使用GPO做法),即是logon script套用至user物件上 =========================== 1. 煩請您登入terminal server並打開記事本 2. 將以下指令複製貼上於此記事本檔案內,並將其存檔於您所指定的路徑,舉例來說您可存成bypass.cmd. @echo off            Set…

0

佈署自動隱藏工具列

大量佈署自動隱藏工具列 請設定一個bat文件內容如下,請將其放到User Logon script @echo off reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects2 /v Settings /t REG_BINARY /d “28000000ffffffff0300000003000000920000002200000000000000de0200000005000000030000” /f taskkill /f /IM explorer.exe explorer.exe

0