環境 & 問題描述 ============ CA : Server 2008 SP1 Standard OS安裝Enterprise Root CA DC : Server 2008 SP1 DC & Server 2003 SP2 DC Server 2008 DCs本身的憑證 (Domain Controller範本申請的憑證)過期而沒有自動Renew , 但是Server 2003 DC會自行Renew 問題原因 ============ 1. 環境有透過GPO啟動Auto-Enrollment機制 2. 環境CA是Enterprise CA搭配Server 2008...

1. 在「本機原則\稽核原則」中的稽核原則以及「進階稽核原則設定」中的稽核原則有何差異？ [安全性設定\本機原則\稽核原則] 中的基本安全性稽核原則設定以及 [安全性設定\進階稽核原則設定\系統稽核原則] 中的進階安全性稽核原則設定似乎重疊，但它們以不同方式記錄及套用。當您使用本機安全性原則，將基本稽核原則設定套用至本機電腦時，您是編輯有效稽核原則，因此對基本稽核原則設定所做的變更與 Auditpol.exe 中的設定完全相同。 這兩個位置中的安全性稽核原則設定之間還有一些差異。 [安全性設定\本機原則\稽核原則] 底下有九個基本稽核原則設定，[進階稽核原則設定] 底下則有 53...

  Issue: Schedule Task failed to start randomly     Cause: There is a Domain Policy defined for “Logon as batch job ”, this settings will overwrite all local account’s right.   Repro Step:   1.       Create a Schedule Task using local administrator account...

  Issue: 機器每天都會產生 1030/1065 的錯誤訊息     Cause:   ·          此問題與 GPMC 介面上的 WMI 篩選有關 , 因為機器的 WMI 發生問題所以無法執行 WMI 篩選的工作才出現錯誤     ·          從 WMI 控制台確認此台機器 WMI 的確有問題     Resolution: ·         ...

問題描述 ================== 使用gpupdate /force嘗試套用GPO時無法正常套用電腦設定 從網路封包內可以看到DC回傳底下錯誤訊息 - STATUS_LOGON_TYPE_NOT_GRANTED 問題原因 ================== 經過確認後此問題是因為Default Domain Controller Policy裡面的安全性設定原則 "從網路存取這台電腦"內沒有Everyone存在所導致 解決方式 ================== 將該原則 - 從網路存取這台電腦" 加入Everyone後於DCs執行gpupdate...

如何將CRL發佈到其他IIS Server 1. 在IIS Server上面新增一個資料夾，如C:\CRL，並將其設定共用，設定成所有人可以完全控制此目錄 (共用 & 安全性都要設定) 2. 在IIS上面的預設網站上新增一個虛擬目錄，並取名為CRL且指向C:\CRL資料夾 3. 設定成Read即可 4. 設定完成後回到CA Server上面打開管理介面，並對Server名稱點右鍵 – Properties，並在Extensions底下點選Add 5. 在Location輸入 file://\\IISservername\CRL\<CaName><CRLNameSuffix><DeltaCRLAllowed>...

本系列包含四大部份 , 相關連結如下 How to migrate CA from Server 2003 to Server 2008 R2 – Part I Backup CA & Uninstall ... How to migrate CA from Server 2003 to Server 2008 R2 – Part II Install CA Role on Destin ... How to migrate CA from Server 2003 to Server 2008 R2 – Part III Restore CA on Destinatio ... How...

問題： 當您以get-adgroup搭配Export-Csv 指令輸出為csv檔時，部分欄位值被變更為 "Microsoft.ActiveDirectory.Management.ADPropertyValueCollection" 原指令： get-adgroup -filter * -Properties * | select-object name,mail,description,ManagedBy,dlMemSubmitPerms | Export-Csv c:\adgroup.csv 輸出結果： 修改後的指令： get-adgroup -filter...

問題描述: You may experience certain situations where you may want to prevent a computer from running a user logon script. For example, you may want to do this when a terminal server hosts a special environment for a forest. A. KB 924034於server 2008也適用 ( 此為未使用GPO做法)，即是logon script套用至user物件上 ======...

大量佈署自動隱藏工具列 請設定一個bat文件內容如下，請將其放到User Logon script @echo off reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects2 /v Settings /t REG_BINARY /d "28000000ffffffff0300000003000000920000002200000000000000de0200000005000000030000" /f taskkill /f /IM explorer.exe explorer...

問題描述 ︰ XP 透過ADUC無法加使用者到群組 程式無法開啟所需的對話方塊，因為它無法判定電腦 "%1" 是否已加入網域 The program cannot open the required dialog box because it cannot determine whether the computer named "%1" is joined to a domain RPC is not available 解決方法 ︰ TCP/IP NetBIOS Helper Service 設定為 stopped並且是設定為手動 啟動後已即可正常使用...

問題狀況 ================== Server 2008 R2升級成DC後,登入後只會顯示空白的桌面 問題原因 & 解決方法 ================== 經過確認後此問題是因為 AD上的Users群組內沒有 Authenticated Users & INTERACTIVE兩個成員 所導致 透過底下Command在其他DC還原設定後 , 等待AD覆寫完成此問題已經獲得解決 Net localgroup Users Interactive /add Net localgroup Users "Authenticated Users...

問題描述 ︰ DNS Event 4000 4013 經research與DC自己的security channel有關，電腦帳號密碼與AD上的不mach 經使用指令netdom resetpwd /server： Replication_Partner_Server_Name /userd： domainname \ administrator_id /passwordd: * Replication_Partner_Server_Name: 使用自己的電腦名稱 其他參考資料 ： 如何在網域控制站降級失敗後，移除 Active Directory...

問題描述 ︰ gpupdate /force 處理電腦原則時發生下列警告: Windows 無法套用 Group Policy Files 設定。Group Policy Files 設定可能有自己的記錄檔。請按一下 [其他資訊] 連結。 Windows 無法套用 Group Policy Registry 設定。Group Policy Registry 設定可能有自己的記錄檔。請按一下 [其他資訊] 連結。 Windows 無法套用 IP Security 設定。IP Security 設定可能有自己的記錄檔。請按一下 [其他資訊] 連結。 Windows 無法記錄群組原則無法延伸...

1. 自 2003 SP1 起 , 我們提供了一個與 NTLM 認證相關的新機制 : 如果使用者通過 NTLM 認證方式 與DC之間建立session, 並且在這個 session 中修改了密碼 ; 那麼當使用者再次通過 網路驗證 的方式提供舊密碼並且訪問資源時, 舊密碼仍然可用; 具體可以參考: http://support.microsoft.com/kb/906305/en-us 關於NTLM與網路認證的相關資料: 1) NTLM 認證的相關資料 : http://msdn.microsoft.com/en-us/library/aa378749(v=vs...

分析: 發生問題的 Server name 為 Proxy, 所以正確註冊的Server Name 為 HOST/proxy.domain.com . 如果有其他電腦註冊此 HOST/proxy.domain.com 就會出現此錯誤 Kerberos Event ID: 11 解決 Kerberos Event 11 Duplicate SPN做法如下: 使用 ldifde 撈出網域中所有SPN 來比對 1.開啟 Dos command執行以下指令: ldifde -f spn.txt -d "dc=domain,dc=com" -r "serviceprincipalname...

問題描述 ︰ 特定使用者勾選 “password never expire issue”後約半小時勾選自動取消 發生原因 ︰ 當特定使用者隸屬保護群組時會發生這樣的行為 解決方法 ︰ Windows Server 2003 和 Windows 2000 中的受保護群組： · Administrators · Account Operators · Server Operators · Print Operators · Backup Operators...

問題描述 ============= 1. A網域的UserA透過ADMT方式轉移至B網域 2. 嘗試於A網域進行授權式還原UserA帳號 3. 還原過程都是成功的,在沒接上網路線的狀況下也可以正常看到該User 4. 接上網路線後會發現此User帳號會自動被刪除 問題原因 ============= 由於ADMT會確保搬移到目的端網域(B網域)的帳號不會同時存在於來源端的網域 所以我們在A網域DC進行授權式還原時 , 只要將DC接回網路線時該帳號就會自動被刪除 替代解決方式 ============= 是於來源網域DC上透過ADRestore...

前題: 在預設情況下，您無法對遠端的File server分享的文件做EFS加密。當您做這個動作時，會出現以下的錯誤 如果您希望使用者可以透過網路連到File server上的分享資料夾以EFS加密， 您必需要在File Server進行委派的動作 。參考步驟如下： 1.在DC上，執行「AD使用者和電腦」 2.找到File Server的物件，右鍵點選此Server，點選「內容」>「委派」。 3.在委派的下方，選擇「信任這台電腦，但只委派指定的服務」以及「只使用Kerberos」 4.點選「新增」，在「新增服務」裏，點選「使用者或電腦...

Demote error : " The directory service is missing mandatory configuration information, and is unable to determine the ownership of floating single-master operation roles." dcpromo.log 09/20/2011 01:03:48 [INFO] Active Directory Domain Services could not transfer the remaining data in directory...

修改 RootCA 的有效期間設定，請依照下列步驟。 開啟「登錄編輯器」。 請找到下面的登錄機碼： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSrv\Configuration\<CAname> 請按兩下 ValidityPeriod REG_SZ 登錄值並將有效期間更改為下列其中一個選項： -Days -Weeks -Months -Years 請按兩下ValidityPeriodUnits REG_DWORD 登錄值並更改您想要的日，周，月或年等數字...

問題描述 DC重新開機後執行nltest /query , nltest /dsregdns會出現錯誤訊息: ERROR_NO_LOGON_SERVERS 相關資訊 此狀況是正常現象並不會影響AD的運作. After the restart netlogon service or reboot, the security channel between the DC and the PDC will be reset to invalid: 11/24 11:11:07 [SESSION] CBIS: NlSetStatusClientSession: Set...

當您透過AD User and Computer變更連線網域控制站 DC狀態 不可用，但是仍然可以正常連線 AD User and computer ->domain name->change directory server, found it shows Domain controller is unavailable 建議方法 確認為IPV6導致，若是不想看套此狀態，您可以嘗試停用或是啟用IPV6

癥狀 1.用戶端無法Join Domain 2.透過Terminal Server無法遠程登入伺服器，錯誤:存取被拒 3.RMS Server無法開啟檔案 解決方法 確認設置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\DefaultSecurity\SrvsvcDefaultShareInfo 使用net share IPC$ 確認沒有人有權限存取 刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver...

如果您想要透過群組原則來管理無線網路的設定（例如WPA2+AES加密，或是802.1X的設定），並且將這些設定套用在XP、Vista或是Windows 7的話，但在2003 DC群組原則的UI上找不到這樣的設定，該如何做?(如果您的DC是2008或是2008R2，則不需做此步驟) 1. 在DC上，依照 http://technet.microsoft.com/en-us/library/bb727029.aspx 中的描述先擴展schema 2. 找一台比XP還新的版本的OS，例如Windows 7 SP1，加入您的Domain。 3. 安裝「遠端伺服器管理工具」。下載點為 http...