タグ付けされた質問 「windows-server-2012-r2」

最近PKIを再構築しましたが、ネットワーク上のすべてのクライアントマシンに発行された証明書を削除したいと思います。Powershellの仕事のように聞こえます！そのため、このスクリプトはGPOによって配布され、SysVolから実行され、起動時にクライアントマシンでトリガーされるように記述しました。 set-location cert:\LocalMachine\My $certname = $env:COMPUTERNAME + ".domain.com" get-item * | %{ if($_.issuer -like "CN=IssuingCA*" -and $_.DnsNameList.unicode -like $certname) { remove-item .\$_.Thumbprint -Force } } 管理者特権のコマンドプロンプトから： Ranの場合、スクリプトは何も出力しません（単に新しい端末行）。エラーは返されず、証明書は削除されません。 スクリプト-WhatIfのRemove-Itemコマンドに引数を追加しても、エラーは発生せず、証明書は削除されません。 Remove-Item。\ CERTIFICATE-THUMBPRINT -Forceが実行されると、証明書が削除されます。 これは権限の問題ですか？これを行うためのよりスマートで簡単な方法はありますか？ ありがとう！

9 powershell  windows-server-2012-r2  certificate-authority  pki 

テスト環境で、私は現在、すぐに展開する必要があるいくつかのテスト（実際には既にですが、締め切りがどうなるかを知っています...）をためらっています。これは、Windowsが、隔離されたテスト環境。「実際の」証明書といくつかのDNSトリックを使用して問題を回避することはできますが、セキュリティ/コンパートメント化の理由から、証明書は示していません。 Zimbraと呼ばれるLinuxベースの電子メールサーバーに接続しようとしています。自動生成された自己署名OpenSSL証明書を使用しています。Googleが明らかにしたページは、IIS自己署名証明書を備えたIIS Webサイトを特に参照していますが、それを生成する方法は実際には重要ではないと思います。 こことここで見つけた手順によると、これは証明書をローカルコンピュータの信頼されたルート証明機関ストアにインストールするという簡単な問題です。証明書を手動でコピーし、MMCスナップインを介して直接インポートするだけでなく、これを行いました。ログアウトと再起動は何も変更しません。 ここに私が毎回得る証明書エラーがあります： そして、これが認定パスです（ネタバレ：証明書そのものです）： 最後に、ここにある証明書は、ローカルコンピュータの証明書ストアに安全に格納されています。 Linuxベースのサーバーに接続するServer 2012 R2を使用している間、これらの手順は特にVista（2番目はOSについては触れていません）とIISを参照しています。インポートウィザードにはいくつかの違いがあります（私の場合、現在のユーザーまたはローカルシステム用にインポートするオプションがありますが、両方試してみました）。信頼できると既に言った証明書を本当に本当に信頼できるようにするために変更する必要がある、私が見つけていない場所の設定ですか？ Windows Server 2012 R2に自己署名証明書を信頼させる正しい方法は何ですか？

9 ssl-certificate  windows-server-2012-r2  certificate 

sssdKerberos TGTが機能するADバックエンドを使用して、FreeBSD 10.0のWindows Server 2012 R2で実行されているActive Directoryからユーザーを認証するために必要な手順は何ですか？

9 active-directory  freebsd  kerberos  windows-server-2012-r2  sssd 

ドメインコントローラーの1つに、IPv4およびIPv6アドレスを持つ外部と10.xxxアドレスを持つ内部の2つのネットワークインターフェイスがあります。 ドメインコントローラーには、RRAS（Azureを使用したVPNサイト間）、DNS、およびDHCPがインストールされています。Azure VMにある2番目のDCで複製されます。 何らかの理由で、サーバーは3つすべてのIPアドレスに対して、サーバー自体のDNSエントリを自動的に追加します。公開している2つを削除すると、しばらくして戻ってきます。ネットワーク接続のプロパティで、[この接続のアドレスをDNSに登録する]が選択されていません。 これに関して私が抱えている問題は、ADレプリケーションが間違ったIPに接続しようとするためにRPCサーバーが使用できないというメッセージが出て、ADレプリケーションが中断することです。間違ったアドレスを削除した後で手動でレプリケーションを起動すると、正常に完了します。 サーバーがDNSに外部アドレスを登録しないようにするにはどうすればよいですか？

9 domain-name-system  active-directory  windows-server-2012-r2 

物理CD / DVDドライブを使用して、Hyper-V 2012 R2にゲストOSをインストールできるかどうかを探していました。ゲストOSをインストールする唯一の方法は、ISOをマウントすることです。hyper-vはホストの物理CD / DVDにアクセスできますか？ Hyper-V Windows 8.1 proで同じ動作。 何か不足していますか、それともISOが唯一の方法ですか？

9 hyper-v  windows-server-2012  hyper-v-server-2012  windows-server-2012-r2 

ドメインコントローラー、DHCPおよびDNSサーバーとして機能する1つのWindowsサーバーを備えた非常に小規模な（5ワークステーション）ネットワークがあります。すべてのデバイスは標準のスイッチに接続され、スイッチは標準のブロードバンドモデムに接続されます。 各ワークステーションのTCPネットワーク設定は次のとおりです。 192.168.0.50DNSサーバーのIPです。 192.168.0.1モデムゲートウェイのIP 8.8.8.8はGoogleのパブリックDNSサーバーです これは良い計画ですか？そのリストにモデムのIPを含むポイントはありますか？Windows DNSサーバーがパブリックWebサイトのリクエストを受信して​​キャッシュしていることに気づきました。Google DNSサーバーはリストの上位にあるべきですか？

8 windows  windows-server-2012-r2  local-area-network 

ワークステーション：Windows 7（x64）[プリンターのインストールターゲット] サーバー：Windows Server 2012 R2（x64）[Active Directory、Print Server] 私はこのプリンタをグループポリシーを使用してインストールするために、頭を机にぶつけてきました。何らかの理由で、このプリンターをGPOと共に展開することはできません。私は経由で展開するには、それを設定しようとしているComputer Configuration->Policies->Windows Settings->Deployed Printers、などComputer Configuration->Preferences->Control Panel Settings->PrintersとUser Configuration->Preferences->Control Panel Settings->Printers。また、プリントサーバー管理コンソールを使用して、ユーザーまたはコンピュータ、あるいはその両方を介して追加しようとしました。私はあらゆる種類の方法を試しましたが、何も機能しません。私はたくさんのチュートリアルをたどり、何かを見逃さないようにするためにたくさんのビデオを見ましたが、それは本当に理論的には簡単な作業です...それはうまくいきません。 問題をデバッグしようとしたとき\\myserver\に、プリンターに行ってダブルクリックすると、プリンターをインストールしようとし、UACタイプのプロンプトでドライバーをインストールするように求められることがわかりました。 メッセージボックスのポップアップを停止するために、考えられるすべてのことを試しました。私はそれに掘って、私が編集した場合、GPOが呼ばれることがわかっPoint and Print Restrictionsに位置Computer Configuration->Policies->Administrative Templates->PrintersでとしていたUser Configuration->Policies->Administrative Templates->Control Panel->Printersあなたがにポリシーを設定してみてくださいDisabledまたはEnabled選択しますDo not show warning or elevation prompt2つのセキュリティプロンプトがポリシー設定の下部に表示されているため。 まあそれもバストだった... uncに移動し、管理者の資格情報を入力してプリンターを手動でインストールしようとすると、サーバーからドライバーがダウンロードされ、プリンターがインストールされます（予想どおり）。ユーザーがプリンターを削除しようとして、ログオフしてGPOに戻るとすぐになんとかして成功した場合、私がやりたいことを実行してプリンターを追加し直します。しかし、すべてのPCで初めて手動で追加する必要がありました。 これをテストし、GPOからプリンターを削除した後、ログオフして再度ログオンします。コマンドprintui /s /t2を実行してGUIを表示し、インストール済みのドライバーを簡単に削除して、PCを元の状態に戻すことができます（管理者の資格情報を要求します）。また、プリンタがにあるレジストリに保存されていることも知りましたHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Connections。プリンターを削除しようとして、それができないというメッセージが表示されたら、そのレジストリキーに移動して、削除しようとしたプリンターのGUIDキーを削除しました。次に、Print Spoolerサービスを再起動して、ブームが消えました。これは、目的の場所に到達するのに役立ちましたが、問題のデバッグ中にプリンターを削除するのに役立ちました。 私はどこかで原因が多分何かを変えたある種のウィンドウズセキュリティアップデートであると読んだ。これは、1つのプリンターをpwnできた場合にネットワーク全体をpwnする方法を示したいくつかの記事のためにリリースされました。ユーザーがプリンターに接続してドライバーをダウンロードしたときに何かが注入されたソフトウェアをインストールし、マシンで実行されるなど 私の主な目標は、使用しているGPOを使用して、このOU内の一連のユーザーにこのプリンターを展開できるようにすることです。しかし、私が試みるすべてのことは、それを行うために管理者がログオンすることを必要とします（少なくとも初めて）。私のプリンターがGPO経由で自動的に追加されない理由と、「このプリンターを信頼しますか？」離れるメッセージ？

8 active-directory  group-policy  windows-server-2012-r2  printer  network-printer 

（WS2012-R2）ドメインコントローラーと、ドメインのメンバーである（WS2012-R2）サーバーのセットを持っています。すべての管理者がメンバーであるグループを誤ってグループポリシーに追加しました。「ローカルでログオンアクセスを拒否」、「サービスとしてログオンを拒否」、「リモートアクセスを拒否」、「ネットワークアクセスを拒否」。これにより、私と他のすべての管理者（ビルトインアカウントを含む）がドメインコントローラーからロックアウトされました。 GPOを削除するか、拒否されたグループから管理者アカウントを削除して、サーバーへのアクセスを回復する方法はありますか？

8 active-directory  group-policy  windows-server-2012-r2 

この質問は、@ SwiftOnSecurityのTwitterスレッドに関連しています：https ://twitter.com/SwiftOnSecurity/status/655208224572882944 スレッドを読んでも、ローカルアカウントのネットワークログインを無効にする理由がわかりません。 だからここに私が考えていることがあります、私が間違っているところを修正してください： DCと複数のクライアントでADをセットアップしているとしましょう。クライアントの1つはジョンです。したがって、朝、ジョンは仕事に取り掛かり、AD資格情報を使用してデスクトップPCにログインします。正午に、ジョンは会議に向かい、自分のコンピューター（Windows + L）を「ロック」します。次に、リモートで（RDPなどを使用して）個人用ラップトップを使用してオフィスのPCに接続する必要があります。しかし、この新しいポリシーを使用すると、彼はそうすることができなくなります。 Securitayの説明によると、パスワードはソルト化されていません。しかし、この場合、攻撃者はどのようにしてアクセスを取得するのですか？パスワードはどちらの側でソルトされていませんか？それとも彼女が言おうとしていることとはまったく無関係なのでしょうか。これが事実である場合、彼女は実際に何を言おうとしていますか？

8 windows  active-directory  security  group-policy  windows-server-2012-r2 

私の問題は、クライアントを新たに起動したときにグループポリシーが適用されないことです。ブート直後、クライアントはイベントログにソース「GroupPolicy（Microsoft-Windows-GroupPolicy）」とイベントID 1058を含むエラーメッセージを投稿します：「グループポリシーの処理に失敗しました。[...]」[詳細]タブのErrorCodeは50で、これはERROR_NOT_SUPPORTEDを表します。これは単なる表面的な問題ではありません。たとえば、ポリシーが実際に適切に適用されていません。たとえば、マップされたネットワークドライブがそこにありません。しばらく待った後、「gpupdate」を実行すると、ポリシーが正常に適用され、マップされたネットワークドライブが表示されます。 問題を再現できた最も単純なシナリオ：新しくインストールされたWindows Server 2012R2で新しく作成されたドメイン、クライアントは新しくインストールされたWindows 10 64ビットマシンです。ドメインは1つのドメインコントローラーのみで構成され、他のドメインとの関係はありません。 エラーメッセージには、WindowsがドメインのSysvol-shareから.GPTファイルを読み取れないことが示されているため、コマンドプロンプトから同じファイルにアクセスしようとしました。実際、ブート直後にコマンドプロンプトを開くと、次のようになります。 C:\Users\username>dir \\domain.example.com\sysvol The request is not supported. 1〜2分待ってから同じコマンドを実行すると、ディレクトリリストが表示されます。この時点でgpupdateを実行すると問題なく動作します。 グループポリシー設定[コンピューターの起動時およびログオン時に常にネットワークを待つ]を[有効]に設定しましたが、このポリシーが適用されていることがわかります。同じポリシーオブジェクトで、レジストリ設定が指定されており、レジストリを確認するとクライアントには指定された設定があります。 関連する可能性があるその他の要因： NTLMはドメインで制限されていますが、これは問題ではないようです。有効にしてポリシーを更新し、すべてのマシンを再起動した後でも、症状は同じです。 サーバーがDHCPを使用して構成されているか、静的構成で構成されているかは関係ありません。 ドメインのDNSサーバーは動的更新をサポートしていません。必要なレコードが手動で追加された（C：\ Windows \ System32 \ config \ netlogon.dnsから） クライアントではハイバネーションが無効になっているpowercfg /h offため（を使用）、各ブートはフルブートであり、高速ブートではありません。 ポリシーの起動ポリシー処理待機時間は120秒に設定されています DCへの接続は正常に機能します。pingは機能します。クライアントをオフにし、ADで自分のアカウントを無効にし、クライアントをオンにすると、クライアントがログインしなくなります。アカウントが無効になっていることがすぐにわかります。 この問題以外に、私は異常なことに気づきません。 これは、グループポリシーの問題よりもSMBの問題のようです。サーバー側で接続をスニッフィングすると、興味深いことがわかります。コマンドを初めて実行するdir \\domain.example.com\sysvolと、DCのMicrosoft Message Analyzerに次のように表示されます。 クライアントがDCのポート445へのTCP接続をセットアップし、ComNegotiationが正常に実行されます（DialectRevision：0x02FF）。 その直後、交渉が成功する。DialectRevisionは0x0302です。 その直後、クライアントはTCP RSTを使用してTCP接続を閉じます（??） その後コマンドを発行してエラーが発生するたびに、手順2と3が発生します。 コマンドが機能し始めると、ステップ1と2が発生しますが、TCP RSTを送信するクライアントの代わりに、SessionSetupが実行され、次にTreeConnectが実行され、その後、多くの（一見正常な）SMBチャッターが発生します。 そのため、クライアントはブート後1〜2分まではSMBとDCを適切に通信できないように見え、これによりグループポリシーの処理が失敗します。 この問題をデバッグして解決する方法を誰かが知っていますか？

8 group-policy  windows-server-2012-r2  windows-10 

バックグラウンド 今日、Active DirectoryでOUを移動しようとしたところ、アクセス拒否エラーが表示されました。 ADユーザーアカウントをさらに詳しく調べたところ、オブジェクトを移動するために必要なアクセス許可があり（使用していたOUのセットに対する完全なアクセス許可がありました）、ITキャリアの過程でAD内のアイテムを複数回移動しました。また、初めてこれに遭遇したのも少し奇妙ですが、それでもなおです。 私が試したもの 特定のOUに個人のADユーザーアカウントのアクセス許可を与える。これは、私がその一部であったADセキュリティグループだけではなく、すでにOUに対するアクセス許可を持っている ドメイン管理者アカウントを使用して移動を試す ユーザーアカウントのパスワードをリセットしてからログオフしてログオンし、ADを開いてOUを移動する 別のドメインコントローラに接続して移動を実行しようとしました RSATがインストールされている別のサーバーを介してADに接続し、移動を実行しようとした これらはすべて成功せずに終わりました。 質問 両方のOUに対する完全なアクセス許可があるのに、なぜActive DirectoryのOUを別のOUに移動できないのですか

8 windows  active-directory  windows-server-2008-r2  windows-server-2012  windows-server-2012-r2 

イベントログに、イベントID 4625およびログオンタイプ3の監査失敗が多数あります。 この問題は私のサーバー（内部サービスまたはアプリケーション）から発生していますか？それともブルートフォース攻撃ですか？最後に、このログインのソースを見つけて問題を解決するにはどうすればよいですか？ これは、[全般]タブの詳細情報です。 An account failed to log on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: aaman Account Domain: Failure Information: Failure Reason: Unknown user name or bad …

8 windows-server-2012-r2  brute-force-attacks 

非常に奇妙な問題があります。概念実証のために、ADSでRDSサーバーをセットアップしています。azureから提供された外部URL（xxxx.cloudapp.net/RDWeb）を使用してWebアクセスを使用すると、正常にログインでき、タスクバーに小さなポップアップが表示されて接続済みであることを確認できますが、ページには、利用可能なremoteappsが表示されません-公開されたものがないかのように。 hostsファイルを変更して、外部IPアドレスを内部DNS名（xxx.domain.localなど）として処理し、それを使用してRDWebにアクセスすると、完全に機能します。remoteappカタログにアクセスしてアプリを選択し、まったく問題なく実行できます。 以前にインストールされていないrdsゲートウェイの設定を含め、考えられるすべてのことを試しましたが、何も違いはありません。誰か洞察力がありますか？

8 windows-server-2012-r2  azure  remote-desktop-services  rds  rdweb 

最近構成したテストドメインがあります。突然、キャッシュされた資格情報を持つユーザーを除いて、ユーザーはログインできなくなります。ドメインには、相互に複製する両方のグローバルカタログである2つのドメインコントローラーが含まれています。 問題を調査した後、すべての_mcdcsドメインレコードが両方のDNSサーバーで完全になくなっていることがわかりました。これにより、_ldapや_kerberosなどのSRVレコードが解決できないため、ドメインコントローラーを見つけることができなくなります。 これがどのように発生したのかはよくわかりません...これは、DNSキャッシュまたはDNS清掃をクリアすることによって引き起こされるものですか？ この時点で、なんとかしてレコードを復元する必要があります。別のドメインの設定を確認しましたが、手動で再作成できるようですが、一部のDNSレコードにはSID名が含まれているようです...それらを再作成するために使用されます。 このような状況から抜け出すために使用できるより良いプロセスはありますか？

8 domain-name-system  active-directory  domain-controller  windows-server-2012-r2  srv-record 

PowershellコマンドレットTest-Clusterは無数のデータにクエリを実行し、検証テストを実行して、きれいなレポートにラップします。実行Test-Cluster -Listすると、項目のリストが表示され、コマンドレットを使用して個別にクエリを実行できます。を読むときの一般的な命名規則がありますDisplayName。それらはすべて"List"または"Validate"で始まります。 明らかに、「検証」は実際に失敗してフェイルオーバーをテストします。しかし、「リスト」という名前を付けると、実行時のデータのクエリにすぎないと思います。これを次のスクリプトでテストしました。 $TestList = Test-Cluster -List | Where-Object {$_.DisplayName -like "List*"} Test-Cluster -Include $TestList.DisplayName -ReportName "c:\cluster reports\report" このレポートが生成されている間、ログに記録されたクラスターエラーは表示されず、フェイルオーバーアクティビティも確認されません。Microsoftのtechnetもこれについてははっきりしていませんが、動作は私が考えていることと一致していると推測しています。この抜粋を参照してください（鉱山を強調）： テスト結果は、指定したファイル名のファイルにキャプチャされます。検証テストを実行している、あなたは、ハードウェアや設定がフェールオーバークラスタリングと互換性があることを確認することができます。クラスタ、インベントリ、ネットワーク、ストレージ、システム、およびその他のタイプのテストを含む、複数のタイプのテストがあります。ストレージテストでは、クラスター化された役割で使用されているオンラインディスクまたはストレージプールはテストされません。このようなディスクをテストするには、まずStop-ClusterGroupを実行してクラスター化された役割を停止してから、Test-Clusterを実行します。テストが完了したら、クラスター化された役割（リソースグループとも呼ばれます）を再度開始します。 テストクラスターTechNetページ 「検証」という言葉の使用に注意を喚起します。さらに、そのスクリプトを実行すると、出力の一部として次のように表示されます。 Test Result: ClusterSkippedTestsCompleted 検証テストを含めると、結果は次のようになります。 Test Result: ClusterConditionallyApproved 私のテスト環境では、ネットワークテストでいくつかの警告が生成され、条件付き承認がトリガーされました。「Validate」と「List」の分割の背後にあるロジックを説明するドキュメントを見つけるためにかなりグーグル検索しましたが、何も調べていません。これは質問につながります... リスト要求はフェイルオーバーイベントをトリガーしますか？

8 powershell  cluster  windows-server-2012-r2