小编Sco*_*ain的帖子

我的 Active Directory 域中有一个特定的组织单位需要弱密码设置。我设置了我的 GPO 并为 OU 创建了一个OU=Limited Users,OU=Production,OU=VetWeb,DC=vw,DC=local名为“GPO for Limited Production Users”的新策略。根据组策略建模，我确实正确设置了所有内容。

但是，当我尝试使用不满足复杂性要求的密码创建新用户或更改现有用户的密码时，我收到一条错误消息。例如将用户CN=Test,OU=Limited Users,OU=Production,OU=VetWeb,DC=vw,DC=local的密码重置为 12345 的密码会给我一个错误，即新密码不符合密码复杂性要求。

执行 agpupdate /force并不能解决问题。我必须做什么才能让用户OU=Limited Users,OU=Production,OU=VetWeb,DC=vw,DC=local不需要复杂的密码？

我今天被问到这个问题，老实说我不知道​​答案。如果你使用一个连接字符串，而不SSPI连接到一台服务器有什么办法第三方可以拦截在电线上的密码用于登录？

"Data Source=MyServer;Initial Catalog=MyDatabase;User Id=sa;Password=CanThisBeSniffed;"

我不是在询问 MiTM 攻击，只是有人在同一台计算机上或网络上的同一集线器上列出了 Wireshark 或类似的东西。

我自己启动了wireshark，并没有以纯文本形式看到它，但这可能是一个简单的混淆或适当的加密，我只是想知道哪个。

我注意到 SQL Server 有大量的写入 \System Volume Information\{guid1}{guid2}

当这样的事情发生时，Sql Server 在做什么？

在上图中，我对 sqlsevr.exe 的写入 IO 的一半用于系统卷信息写入。

这是在 Windows 7 专业版中运行的。

这是输出 vssadmin list shadows

vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2005 Microsoft Corp.

Writer name: 'Task Scheduler Writer'
   Writer Id: {d61d61c8-d73a-4eee-8cdd-f6f9786b7124}
   Writer Instance Id: {1bddd48e-5052-49db-9b07-b96f96727e6b}
   State: [1] Stable
   Last error: No error

Writer name: 'VSS Metadata Store Writer'
   Writer Id: {75dfb225-e2e4-4d39-9ac9-ffaff65ddf06}
   Writer Instance Id: {088e7a7d-09a8-4cc6-a609-ad90e75ddc93}
   State: [1] Stable
   Last error: No error

Writer name: 'Performance …

首先解释一下我的网络拓扑。

我有一个内部域和边缘网络域。两个域之间不存在信任（并且 IT 不允许在内部和边缘网络域之间建立单向信任）

当通过路由器时，它会将流量 NAT 传输到边缘网络。因此，所有流量dmzHost.edgeNetwork.local看到的不是源自其自己的子网的流量看起来都将具有192.168.10.10. 有趣的是，当连接到 10.0.0.0/8 子网中的计算机时，来自 192.168.10.0/24 子网的任何流量都不会被 NAT（我向 IT 发送了一封电子邮件，询问为什么会这样，因为我不明白NAT到边缘网络，而是从边缘网络的开放接入。我可以看到背后的原因10.x -> 192.x = NAT和192.x -> 10.x = Dropped connection，但事实上，他们允许通过混淆了连接我）

我想要做的是禁用任何授权计算机的防火墙，以便它可以进行远程管理。我尝试做的方法是

1. 在 dmzHost 上，使用以下设置创建连接安全规则条目：
   1. Endpoint 1设置为192.168.10.40通过192.168.10.49（这将是一个 GPO 推送到多台计算机）
   2. Endpoint 2 被设定为 Any IP address
   3. 协议和端口设置为 Any
   4. 身份验证要求设置为 Request inbound and outbound
   5. 身份验证方法设置为Advanced第一个身份验证方法设置为Preshared Key
2. 在 lanPC 上，按照相同的设置执行：
   1. 设置Endpoint 1为Any IP address
   2. 设置Endpoint 2为192.168.10.40通过192.168.10.49 …

更新：我用 Server 2012 R2 的零售版而不是预览版重建了整个系统，我也更密切地遵循了测试实验室指南，但我仍然遇到同样的问题。

我使用Windows Server 2012 R2 Preview建立了一个测试实验室。最初的测试实验室有以下配置（我将我们的名称替换为“OurCompanyName”，因为我希望如果Google搜索我们的名称不会导致人们访问该站点，请在任何回复中执行相同操作）

运行 Windows Server 2012 R2 Preview 完整 GUI 的物理硬件，充当 Hyper-V 主机（作为 testVwHost.testVw.OurCompanyName.com 加入测试域），并在其上运行以下 VM

• 运行 2012 R2 Core 的 VM 作为林的域控制器testVw.OurCompanyName.com(testDC.testVw.OurCompanyName.com)
• 运行 2012 R2 Core 且没有运行任何内容的 VM 作为 testIIS.testVw.OurCompanyName.com 加入测试域
• 全新安装 Windows 7，对它所做的只是加载并sysprep /generalize /oobe /shutdown /mode:vm在其上运行的 所有 Windows 更新
• 全新安装 Windows 8，对它所做的只是加载并sysprep /generalize /oobe /shutdown /mode:vm在其上运行的 所有 Windows 更新

然后我从 testVwHost 运行“添加角色和功能”并选择“远程桌面服务安装”、“标准部署”、“基于虚拟机的桌面部署”。我选择testIIS角色“RD 连接代理”和“RD Web 访问”以及testVwHost …

我的部门为购买我们软件的人进行转换，以将他们的数据从旧系统中提取到我们的系统中。他们通常会运行奇怪或陈旧的系统，将数据提供给我们的唯一方法是磁带备份。

目前，我们在多台计算机的多个硬盘驱动器上安装了各种操作系统。我们想对此进行虚拟化，但是我们的许多磁带驱动器（我们有很多磁带驱动器，因为它们可以在阳光下向我们发送任何东西）是 IDE 而不是 SCSI。我过去曾成功地使用 VMWare 完成 SCSI 直通以使 SCSI 磁带驱动器工作（这是在 VMWare Server 2 中完成的），但是当时没有 IDE 直通支持。

由于互联网的长尾问题，当我尝试搜索并查看是否有任何较新的 VM 产品提供 IDE 直通时，我一直收到 2007 年的结果，说“不，你不能这样做”

任何当前的 VM 软件都可以为磁带设备执行 IDE passthrough 吗？我愿意接受类型 1 或类型 2 管理程序，但首选支持 Windows 作为主机操作系统的类型 2。

更新：我更改了设置以使其更接近实时环境，我不再使用 IP 地址相互连接。我也澄清了更多问题，如果需要更多澄清，请告诉我。

我正在做一些测试以向我们的网络添加第二个 RD 会话主机服务器。目前我们有一台 Win 2k8 R2 机器 ( LIC-SRV)，它同时运行“远程桌面会话主机”和“远程桌面许可”服务。许可证服务器安装了 20 个用户的“RDS Per User CAL”。RD 会话主机实例正在使用在其自身上运行的许可证服务器工作正常并且运行正常。

我创建了第二台RDSH-SRV仅运行“远程桌面会话主机”的机器 ( )。

在 RDSH-SRV 上，我将其设置为按用户许可。当我去设置许可证服务器时，即使我将 LIC-SRV 的“发现组”设置为工作组，LIC-SRV 也没有显示在可用服务器列表中。当我手动输入 LIC-SRV 作为服务器时，它给了我以下错误：

---------------------------
远程桌面会话主机配置
------------------ ---------
您的账户没有许可服务器的管理员权限；因此，无法确定许可证服务器是否是可供远程桌面会话主机服务器使用的有效许可证服务器。是否仍要将许可证服务器添加到列表中？
---------------------------
是 否
--------------------- ------

我单击是并将服务器添加到列表中。

当我转到 RDSH-SRV 上的许可诊断屏幕时，它会将 LIC-SRV 列为具有“可用”连接性，但凭据“不可用”。

当我单击Provide Credentials页面右侧时，它会提示我输入 LIC-SRV 上的凭据，然后我输入我的 LIC-SRV 凭据（我是 LIC-SRV 上管理员组的成员），但单击“确定”后出现对话框消失 1-2 秒，然后凭据提示再次显示，就好像我为凭据输入了无效信息一样。它从不给我任何类型的错误信息，只是重复提示。我可以从 RDSH-SRV 连接到 LIC-SRV 网络共享，输入我的凭据以允许访问，并且连接正常，所以问题不在于凭据错误。

我已经尝试过在用户名框中使用和不使用主机名（srchamberlainvs LIC-SRV\srchamberlain），但它总是重新提示输入凭据。

两台计算机都是工作组“WORKGROUP”的成员。我正在使用登录名在 RDSH-SRV 上进行工作，srchamberlainLIC-SRV 上还有一个 srchambrelain 帐户，其密码相同。两个 srchamberlain 帐户都是各自计算机上管理员组的成员。 …

我目前正在为 Windows 编写一个服务，我经常修改它并将其更新到我的测试计算机上。我想写一个脚本，自动停止服务，更新exe并重新启动服务。然而，它的停止和开始部分我遇到了麻烦。

我要连接的计算机不在域中，我们不共享用户名和密码。我认为我最好的选择是这样做，sc.exe \\testsvr stop "myService"因为我没有域或共享用户名和密码，这给了我“访问被拒绝”消息。

我可以很容易地添加用户，但我希望这是一种学习体验，当我无法更改用户时。

我正在遵循 Microsoft 的“安装远程桌面会话主机分步指南”。

我在第 2 步的子部分：“将 Morgan Skinner 添加到Remote Desktop Users组”。

我可以添加mskinner到本地Remote Desktop Users组，但是一旦我单击“应用”（或单击“确定”然后返回到列表中），列表将再次为空。如果我再次尝试添加他，我会收到错误消息

---------------------------
Local Users and Groups
---------------------------
"Morgan Skinner" is already a member of group "Remote Desktop Users".
---------------------------
OK   
---------------------------

重启RDSH-SRV后仍然有一个空Remote Desktop Users组。

有趣的是，如果我转到域控制器并从那里远程管理 RDSH-SRV，我确实会看到列表（仅 SID，没有用户名）

RDSH-SRV 的窗口

通过 CONTOSO-DC 远程查看 RDSH-SRV 的窗口

两台机器都是基础 Win2k8R2（180 天评估版）VMware Image Snapshot 的克隆。它们在 lan 网段上的 VMWare Workstaion 8 中运行（每个都获得一个新的 MAC 地址）。克隆后，我将一个转入域控制器 (CONTOSO-DC)，将一个转入域成员 (RDSH-SRV)。

它们基于相同的基本快照图像这一事实是否会导致这种情况，或者我是否犯了其他类型的错误？