一段时间以来,关于 IPv4 即将耗尽而 IPv6 成为救世主的新闻一直在“恐慌”。所有大公司都在准备并展示应该如何做(谷歌、脸书的最后行动)。我确实理解这个问题,我确实认为人们应该慢慢开始行动,但这对小公司来说也是一件大事吗?
我的客户通常是非常小的公司,有 5 到 50 名员工,他们的客户使用 Windows XP/Windows 7,服务器使用 Windows 2003/Windows 2008R2。1 到 5 台交换机并不复杂(有些是托管的,有些是非托管的,但没有什么太复杂的 - Linksys/D-Link)。最重要的是,通常有 ISP 提供的调制解调器和小型home路由器(D-Link、Draytek、Linksys),或者如果客户端稍大一些,例如 FortiGate FW50B。
他们应该如何准备?每个公司都应该做些什么?喜欢买新的路由器?我正在寻找有关如何从客户的角度解决此问题的一般建议。我们是应该先等待 ISP 来找我们,然后再尝试解决问题,还是应该什么都不用担心,只做我们该做的事情而没有什么可做的?
考虑到什么是最好的拓扑:
全球多个地点使用这些 Exchange。大多数位置将与 VPN 隧道连接(肯定是托管 Exchange 的那些)。
我在想这样的事情:
地点MAIN(约70-100人):
位置支持(约20人):
管理层希望确保在主要位置出现问题(电源故障、链路丢失等)的情况下,第二个位置可以支持来自世界各地的所有流量,反之亦然。我们有 6-7 个地点,而且还有更多地点(不是很大,但每个地点大约有 10 人以上)。
我确实知道 CAS/HUB 是单点故障(并且没有 NLB),但我只是缺乏更多的许可证来做一些冗余。
您如何看待这种方法?根据你的说法,什么是更好的方法?
在 Active Directory 中,您可以设置和强制执行规则,其中用户必须使用强密码、不能使用他们已经拥有的最后 5 个以上的密码、强制执行密码复杂性。有没有办法强制执行此类设置,以便如果服务帐户(密码重置 Web 服务)尝试为用户设置新密码,则会根据策略对其进行检查并被接受或拒绝?
似乎由于服务帐户强制更改密码,用户可以通过 Web 界面输入相同的密码,然后一遍又一遍地继续使用相同的密码。由于它是为他更改密码的服务帐户,因此不会根据最后已知的密码进行检查,因此不会强制执行密码规则
虽然程序员可以编写复杂性检查最后使用的密码,但无法在 Web 界面上检查,因为 Web 服务不知道最后一个密码。
是否可以强制这样做,以便像普通用户密码更改一样限制服务帐户对密码的这种更改?
我的客户在世界各地拥有多个站点。他们在主要位置有 2 个域控制器,每个其他位置都通过 vpn 隧道连接到主站点。目前网络或多或少是灾难,所以我正在尝试修复它。辅助站点的一个共同点是,它们在网络设置中的路由器具有 ISP 本地 DNS 服务器,因此它们基于 DHCP 的计算机会获得“错误”的 DNS 服务器。多年来一直如此,他们使用 IP 地址连接到服务器。
所以我想用适当的 DNS 服务器等来修复它。所以我计划在位于该位置的唯一服务器上使用 RODC 和 DNS 服务器(带有终端服务和人们用来工作的几个程序,如 Visual Studio) . 另一种选择是从主要位置进入 DNS 服务器,但如果隧道中断,员工将感到困惑并且无法访问互联网(因为他们需要更改路由器设置),因此这似乎不是可靠的解决方案。
我的问题如下:
我们希望在分布在几个位置的组织中实施 Exchange 2010。现在,我们在托管中使用 POP3/SMTP,所有人都在使用 Outlook 2007 和 2010。对于我们公司(以及更多公司)而言,邮件是与客户和内部通信的重要形式。
通常我想在一天内完成这一切(我仍然更喜欢那样)或多或少地这样做:
company.com域但问题是我们的管理层希望在几天/几周内完成,因为有些人离线会出现问题,有些人的计算机无法正常工作pick any other problem here(因为我们有域名重命名需要 2 个月以上的经验)所有的人最终切换到新域)。
因此,这开始变得棘手,因为在 MX 记录更改后,旧邮箱中将没有新电子邮件,并且offsite在设置 Outlook 以使用时Exchange会遇到问题的人将无法正常工作。此外,如果有 200 多人和很少的 IT 人员(大多数位于一个位置),这可能会对未阅读通知更改的电子邮件、未继续执行说明、不在现场等的人员造成严重破坏(我们有所有人都看到,在我们的域重命名说明中,最后一个人在重命名后 2 个月迁移)。
所以我的计划是(有点复杂):
company.com在最终切换之前的整个时间内发送电子邮件(因此电子邮件将继续发送到旧邮箱,但允许用户从两个邮箱发送电子邮件,以防万一他们犯了一些错误)或者
如何在 DNS 中创建条目以捕获所有查询(通配符)?例如domain.local,IP 192.168.1.1 和任何子域都会以相同的 IP 响应(bbbaasa.domain.local,aaa.domain.local - 192.168.1.1)?
我正在寻找一种方法来查找在 Exchange 2010 中没有设置 SEND AS SELF 标志的所有用户。没有该标志,用户将无法通过 SMTP 发送电子邮件,而且似乎有些用户缺少此标志(尤其是用户谁曾经是域管理员等)
我想这必须与下面的查询类似,尽管这应该显示具有 Send-as 的用户(因为它隐藏了用户名),而我正在寻找没有的用户。
[PS] C:\Windows\system32>Get-Mailbox | Get-ADPermission | where {($_.ExtendedRights -like "*Send-As*")}
Identity User Deny Inherited
-------- ---- ---- ---------
LGBSPL.LGBS/LGBS/... NT AUTHORITY\SELF False False
LGBSPL.LGBS/LGBS/... NT AUTHORITY\SELF False False
有没有办法在gpresult不以实际用户身份登录计算机的情况下开始工作?
假设UserA正在登录计算机XYZ。您通过TeamViewer登录或以AdminA 身份在本地登录,您右键单击Run As Administrator,输入您的管理凭据,然后输入著名的 gpresult /R 命令以获取计算机 GPO,但它根本不存在。
gpresult /R
INFO: The user adm.test does not have RSoP data.
您尝试远程执行此操作,但它也失败了...
gpresult /S DDD9D5 /SCOPE COMPUTER /R
INFO: The user does not have RSoP data.
如何强制它以便您可以实际获取该计算机上的域管理员或管理员(但不是用户)和从未实际登录到该计算机的用户的数据?
多年来,我认为这只是“工作”,但似乎我一直通过 RDP 或其他方式登录到计算机,并且它始终有效。现在它没有......我需要一种方法来正确调试它。
实际上我唯一的选择是以标准用户身份登录然后执行命令吗?
如何配置非管理员用户以允许他们安装 Java 和 Adobe Acrobat Reader(或任何其他可能需要此类权限的应用程序)的更新,而无需在 Windows 7 上输入管理员密码。 Microsoft 产品的更新安装没有问题。
这可以是 Active Directory (Windows 2003) 解决方案,也可以是基于计算机的(可通过 GPO 或登录脚本使用)。
编辑:
只是添加一些信息。我知道Secunia提供Secunia CSI与 WSUS 集成并允许通过它部署的其他软件更新。但它是付费软件,这是我想避免的。
此外,授予管理员/高级用户权限并不是我想要的,因为它会打开额外的安全漏洞。
我在少数主机上备份 Hyper-V 时遇到了很大的问题。在由软件完成的备份过程中,一些机器变得不可用,主机开始死亡等。我们跟踪这不是软件本身而是文件复制。仅将文件从驱动器 D 复制到大小为 30GB 的驱动器 C 将在文件传输期间终止主机。文件复制前的 ram 使用量为 64GB 中的 48GB。当您开始传输 30GB 文件时,ram 的使用会发生变化,并且在 1 分钟内,64 个服务器中的 64 个开始爬行,甚至 RDP,物理访问停止工作,直到文件复制完成。因此,在备份期间,服务器可能需要数小时才能可用。
这是 DELL Server R515,RAID 控制器处于回写模式。我在其他 Windows 2012 服务器上注意到了这一点。我尝试使用一些旧的解决方案来禁用 2003 年的缓存,但没有一个有效。我已经在 IBM 和 Dell 服务器上对其进行了测试,行为非常相似。Ram 使用量上升。首先它以 700MB/s 的速度复制开始,然后在使用 ram 后它运行缓慢。所以问题是如何禁用文件缓存或将其限制为正常值。
请不要建议使用 robocopy 或其他“复制”工具,因为虽然它可以解决使用外部软件复制的问题,但我的问题实际上是关于由我没有影响的 3rd 方软件进行的备份。我希望“资源管理器”正常运行:-)