在 Windows 上,您可以使用 certutil.exe 来管理证书。但它确实有很多选项,命令帮助(与谷歌一样多)并不能帮助清楚地理解它。
这些命令的确切含义是什么,所有这些命令都应该能够将证书导入本地机器存储?
certutil -addstore my <filename>
certutil -installcert <filename>
certutil -importcert <filename>
certutil -importpfx <filename>
我猜最后一个是从 .pfx 文件导入证书;但其他(一些)不应该也能这样做吗?而且,前三个之间有什么区别?
最近我在活动目录中添加了注册表项,我需要通过组策略推送它们,而不是去每台 PC 应用新的。
如何通过组策略推送新的注册表项(而不是修改现有的)?
注意:我使用的是 Windows Server 2003 64 位,我的客户端运行的是 Windows XP Professional。
windows-server-2003 active-directory windows-xp group-policy windows-registry
我有一些需要管理的瞻博网络 SSG 防火墙,我希望能够从一些监控脚本向它们发送命令。我使用公钥配置了 SSH 访问,并且我能够自动登录到防火墙。
当我以交互方式运行 SSH 时,一切正常:
$ssh <firewall IP>
FIREWALL-> <command>
<command output>
FIREWALL-> exit
Connection to <firewall IP> closed.
$
但是当我尝试从命令行运行命令时,它不起作用:
$ssh <firewall IP> <command>
$
当然,这在向远程 Linux 机器发送命令时工作正常:
$ssh <linux box IP> <command>
<command output>
$
为什么会这样?以交互方式运行 SSH 与指定要在 SSH 命令行上运行的命令有什么区别?
它也适用于 Cisco 路由器。只有这些瞻博网络防火墙似乎以这种方式运行。
从 SSH 的调试输出来看,连接似乎已正确建立,但 Juniper box 在发送命令时回复 EOF,而 Linux box 回复实际命令输出:
Linux:
debug1: Authentication succeeded (publickey).
debug1: channel 0: new [client-session]
debug2: channel 0: send open
debug1: Entering interactive session.
debug2: callback …ActiveDirectory模块中的所有 PowerShell cmdlet 都支持使用-server参数针对特定域控制器运行;但是有什么方法可以设置默认 DC 以用于所有与 AD 相关的操作,或者我是否需要在每个命令上指定它,如果我真的关心我正在使用哪个 DC(在涉及复制延迟时很常见) )?
我有一个 Hyper-V 2012 R2 集群,4 个 Dell PowerEdge R620 服务器通过 FC 连接连接到一个 Dell PowerVault MD3600F 存储阵列;这一切都非常简单,所有服务器都运行 WS2012R2,集群是几个月前新构建的,所有驱动程序和固件都是最新的,Windows 更新到最新的可用补丁(即使是两天前发布的补丁)。还有一个 SCVMM 2012 R2 服务器管理整个事情,但这对于手头的问题似乎并不重要。
这个集群上运行着几个虚拟机;其中一些是运行 Windows Server 2008 R2 的第 1 代 VM,而大多数是运行 Windows Server 2012 R2 的第 2 代 VM;这些也包括最新的可用更新;它们实际上是从集群之后不久构建的模板中部署的,并且会在 Microsoft 发布新补丁时定期更新。
一切都运行良好,但有时(即没有明显的原因或原因)虚拟机将无法启动,出现可怕的INACCESSIBLE_BOOT_DEVICE错误代码而崩溃;这仅在启动(或重新启动)时发生:运行时没有 VM 崩溃。
每当这种情况发生时,就无法让故障虚拟机再次启动;这是两周前第一次发生在虚拟机上,该虚拟机还没有运行任何生产工作负载(它是新部署的);我们非常急于让它工作,因此我们只是刮伤它并部署了一个新的;但是没有找到问题的根本原因。
然后两天前又发生了,当时我们在修补了几个虚拟机后重新启动了它们;其中三个没有重新启动,而其他一些启动没有任何问题。
即使在安全模式下,故障虚拟机也无法启动;但是,当启动到 Windows 恢复环境时(从系统本身,因此从本地(虚拟)磁盘,而不是从 Windows DVD;这意味着确实可以访问虚拟磁盘),一切似乎都正常:启动管理器正确列出在要启动的系统(的输出bcdedit /enum all /v实际上与工作 VM的输出相同),所有卷都可以访问,甚至chkdsk根本没有显示任何错误。唯一的异常是,当运行bootrec /scanos或 时bootrec /rebuildbcd,该工具说它无法找到任何 Windows 安装(尽管 C: 卷在那里并且完全可读)。
这仅发生在 WS2012R2 第 2 代 VM 上(至少到目前为止),因此我假设它是由 EFI …
hyper-v bsod boot windows-server-2012-r2 hyper-v-server-2012-r2
我正在构建一个包含同一林中多个 Active Directory 域的测试环境,但是在尝试将子域添加到林根域时遇到了奇怪的问题。
所有服务器都是运行在Azure云平台上的Windows Server 2012 R2 VM,连接到同一个虚拟网络;他们有静态保留的 IP 地址,他们可以互相交谈而没有任何网络问题。
我的域结构是(或至少应该是)如下:
A0.lab (forest root) B0.lab
/ \ / \
A1 A2 B1 B2
| |
A3 B3
因此:
我已经成功创建了林根域 (A0.lab) 并且我已经定义了一个 AD 站点及其子网;域运行正常。
接下来,我已经配置了应该成为第一个子域 (A1.A0.lab) 的域控制器的服务器,以使用根 DC 作为其 DNS 服务器,并且我已经启动了升级向导;我已经填写了所有参数,包括根域的域管理员的用户帐户和创建 DNS 委托的选项;所有先决条件检查均成功。
当我开始实际的提升过程时,它停在“复制架构目录分区”阶段。“目录服务”事件日志反复填充了几个错误:
事件 ID 1963,源 ActiveDirectory_DomainService,任务类别 DS RPC 客户端:
Internal event: The following local directory service received an exception from a
remote procedure call (RPC) connection. Extensive RPC information was …active-directory netbios domain-controller azure windows-server-2012-r2
我正在使用 Samba 3.5.4 在 Linux CentOS 5.4 上运行 Squid 代理(最新版本,3.1.4),以允许域用户进行身份验证的 Web 访问;一切正常,甚至完全支持 Windows 7 客户端。身份验证对域用户是透明的,而对于非域用户则是明确请求的,并且如果用户可以提供有效的域凭据,它就可以工作。一切都很好。
然后,Outlook Anywhere 开始工作,随之而来的是痛苦和苦难。
当 Outlook(无论是 2007 还是 2010,都无所谓)在 Windows XP 客户端上运行时,它会通过 Squid 代理正常连接到其远程 Exchange 服务器。
当它在 Windows 7 上运行时,它不会。
如果从代理中取消身份验证要求,则一切都可以在 Windows 7 上运行,因此问题显然与使用 Squid 的 NTLM 身份验证有关。
深入研究 (WireShark),我发现 Outlook Anywhere 在 Windows 7 上运行时使用 HTTP 1.1,而在 Windows XP 上运行时使用 HTTP 1.0。而且看起来像 Squid,即使是它的最新版本,在正确处理 HTTP 1.1 方面仍然存在一些严重的问题,尤其是在混合使用 SSL 和代理身份验证时。
在等待 Squid 完全和正式支持 HTTP 1.1(看起来这可能需要很长时间)时,我正在寻找以下解决方案之一:
按题目。
我发现关于使用WMI Windows打印服务器的脚本创建打印机的一些方法,但它看起来像WMI不支持群集打印服务器(或集群服务器在所有)。
中的脚本C:\Windows\System32\Printing_Admin_Scripts是无用的,因为它们不知道集群并且最终在活动集群节点上创建打印机(就像使用 WMI 一样)。
我发现能够在集群打印服务器上工作的唯一工具是printui.exe( 的快捷方式rundll32 printui.dll, PrintUIEntry),但它不能创建 TCP 打印端口:如果端口已经存在,它只能添加打印机。
如何在群集 Windows Server 2008 R2 打印服务器上完全编写打印机创建脚本(包括 TCP 打印端口!)?
scripting cluster printer print-server windows-server-2008-r2
我需要在两个 Active Directory 域之间创建双向信任。但管理层担心用户在 Windows 登录屏幕的下拉列表中看到另一个域名时会感到困惑(他们中的许多人使用 Windows XP),并且由于选择了错误的域,服务台会要求登录失败会暴涨。此外,这两个域名非常相似,增加了可能的用户混淆。
有没有办法从 Windows 登录屏幕的下拉列表中隐藏受信任的域?
我需要在两个 Windows Server 2003 域控制器上安装Active Directory 管理网关服务,以便能够在环境中的其他计算机上使用 Active Directory PowerShell 模块;这是域中没有更新的 DC 的解决方法,这是目前无法解决的情况。
但是,上述软件包需要修补程序KB969166,它似乎无法在任何地方使用,甚至在请求时也不可用(因为其他必需的修补程序KB969429就是这种情况)。
下载页面指出“此修补程序最终将合并到 .NET Framework 4.0 中”,但这似乎不是解决方案,因为 4.0 框架实际上安装在这些域控制器上(以及所有可用的 .NET更新),但我在安装 ADMGS 时仍然遇到错误,因为缺少该修补程序。
我知道我们在这里没有支持;不幸的是,不能向环境中添加另一个 DC。尽管如此,该软件包应该仍然可用,并且它需要安装的修补程序应该可用。
我该如何解决这个问题?
.net ×1
.net-3.5 ×1
azure ×1
boot ×1
bsod ×1
certificate ×1
cluster ×1
domain ×1
group-policy ×1
http ×1
hyper-v ×1
juniper ×1
login ×1
netbios ×1
powershell ×1
print-server ×1
printer ×1
scripting ×1
squid ×1
ssh ×1
tty ×1
windows ×1
windows-7 ×1
windows-xp ×1