Taiwan CSS Platform Team

Your Potential, Our Passion.

Browse by Tags

Related Posts
  • Blog Post: CA - 如何沿用之前的 pfx key 去重建 Root Ent CA

    主要的步驟如下 : 1. 使用 AdsiEdit.msc 工具去把 AD 裡的 CA 相關資料刪除,詳細步驟請參考下面的 "Cleanup the original CA information from Active Directory" 2. 讓 Site 裡的 DC 進行立即同步複寫 3. 安裝新的伺服器,伺服器名稱 " 必須 " 跟之前的 CA 一模一樣,加入網域 4. 安裝 CA 原件,詳細步驟請參考下面的 "To restore the root CA" To restore the root CA =======================...
  • Blog Post: 本機安全性原則 Unable to edit local security policy

    問題描述︰ [Unable to edit local security policy] Attempts to edit the local security policy of a Windows Server 2003 member results in the following error: "Windows cannot read template information" 說明與方法︰ ANALYSIS ======================= We can reproduce the problem by deleting the local Guest...
  • Blog Post: 曾經透過GPO變更DNS Servers,造成Client DNS IP位置被變更,且無法還原

    There is a policy, usually at the domain level, that sets this and it supercedes DNS IP issued by DHCP or manual entry. To check for existence of this policy, look in the client's registry for the following entry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient NameServer...
  • Blog Post: 如何委派帳號加入網域?

    1. 按一下 [ 開始 ] ,再按一下 [ 執行 ] ,輸入 dsa.msc 後 ,然後再按一下 [ 確定 ] 。 2. 在窗展開 [網域] 節點。 3. 找到computer OU 上,按一下滑鼠右鍵並按一下 [ 委派控制 ]。 4. 在 [委派的控制項精靈] 中,按一下 [ 下一步 ] 。 5. 按一下 [ 新增 ],將特定的使用者或特定群組加入至 ( 選取的使用者和群組 ) 清單,然後再按一下 [ 下一步 ] 。 6. 在 [ 以委派的工作 ] 頁面,請按一下 [ 建立自訂的工作來委派 ] ,然後再按一下 [ 下一步 ] 。 7...
  • Blog Post: Domain user cannot change account password

    症狀 User無法變更密碼,該無法變更密碼的帳號ACL list裡沒有變更密碼權限,並非所有的帳號都會發生,並且這些帳號分布在各個OU,無法變更帳號本身安全性設定,變更後大約1個小時內恢復未變更的狀態 發生原因 當您委派使用權限使用委派的控制項精靈, 依賴這些使用權限從父容器, 繼承使用權限使用者物件。 不會的受保護的群組的成員從父容器繼承使用權限。 因此, 如果您設定使用的 委派控制精靈, 權限這些使用權限是不適用於的受保護的群組的成員。 請注意 受保護的群組中的成員資格定義為直接成員資格或使用一或多個安全性或發佈群組成員資格可轉移的。 通訊群組是包含的, 因為它們可以轉換成安全性群組...
  • Blog Post: DNS AD整合Zone Missing

    DNS Zone missing,當重新建立AD整合Zone時會出現以下錯誤訊息 "The zone cannot be replicated to all DNS servers in the (null) Active Directory domain" RESOLUTION To resolve this issue, follow these steps: 1. Change the DNS server to another DNS server that is available in the domain. To do this, follow these steps...
  • Blog Post: After enable advanced audit of GPO, all regular aduit GPO became invalid

    1. 在「本機原則\稽核原則」中的稽核原則以及「進階稽核原則設定」中的稽核原則有何差異? [安全性設定\本機原則\稽核原則] 中的基本安全性稽核原則設定以及 [安全性設定\進階稽核原則設定\系統稽核原則] 中的進階安全性稽核原則設定似乎重疊,但它們以不同方式記錄及套用。當您使用本機安全性原則,將基本稽核原則設定套用至本機電腦時,您是編輯有效稽核原則,因此對基本稽核原則設定所做的變更與 Auditpol.exe 中的設定完全相同。 這兩個位置中的安全性稽核原則設定之間還有一些差異。 [安全性設定\本機原則\稽核原則] 底下有九個基本稽核原則設定,[進階稽核原則設定] 底下則有 53...
  • Blog Post: AD 資料庫檔案 (NTDS.dit) 的一致性檢查

    有的時候您會遇到 NTBackup 無法備份 DC 的 System State 或是你在系統日誌裡發現: Event Type: Error Event Source: NTBackup Event Category: None Event ID: 8012 Description: The 'Active Directory' returned ' 發生讀取驗證錯誤 。 ' from a call to 'BackupRead()' additional data '-' Event Type: Error Event Source: ESENT Event Category: Logging...
  • Blog Post: Windows Server 2003 – How to backup GPO and restore to Default

    [問題說明]: 我要怎麼備份現有的GPO, 然後還原 Default Domain Policy 以及 Default Domain Controller Policy 到預設值. [操作步驟]: [備份現有的GPO設定] 1. 使用GPMC來備份現有的GPO 2. 選擇備份的位置後按下備份 3. 備份完成後按下確定 [還原GPO到Default Settings] 1. 先下載 2003 Resource Kits Tools...
  • Blog Post: AD - 修復/還原已遺失的 FRS 成員物件

    請您用 ADSIEdit.msc 檢視 CN=Domain System Volume (SYSVOL share) 下面的複寫 Member 物件是否不見了。如果物件遺失,就會導致 DC 無法進行 FRS 抄寫。請您跟著以下步驟操作,手動把 FRS Member 物件建置回來。 參考 KB 文件: Recovering missing FRS objects and FRS attributes in Active Directory http://support.microsoft.com/kb/312862/en-us Recovering deleted FRS member...
  • Blog Post: Win7使用指令加入網域範例

    一、假設您要從Server上下NETDOM指令讓Client 加入Domain,可以參考: netdom join client /Domain: eric\ dc1 /Userd:eric\administrator /Passwordd:* /UserO:administrator /PasswordO:* 其中 Domain name為eric DC名稱為DC1 Client的名稱為client /Userd: 後面接的是domain 帳戶 /UserO:後面接的是該client的本機administrator帳戶 輸入後,會跳出二次需要輸入密碼的地方...
  • Blog Post: ADUC could not retrieve site information for a specific DC

    SYMPTOM ================== There are 4 DCs in this domain 1. When running account lockout tool on DC02 we could not see DC01 from the tool, all other DCs in the same domain does not have this problem 2. Netlogon.log on DC02 show the following 01020 04/06 23:07:40 [SITE] DC list: Taiwan CADCTMP...
  • Blog Post: DNS - Additional "com.tw" (or "xxx.yyy") entry may appear in DNS suffix search list

    CAUSE =================== When "UseDomainNameDevolution" is configured to 0, a single default entry is placed in the DNS suffix search list, for example "sub.domain.com.tw" However, a devolutionized DNS suffix search list is populated if the entry is configured to 1, for example: "sub.domain.com.tw"...
  • Blog Post: Event 1030 and 1065 error appear at Application log

      Issue: 機器每天都會產生 1030/1065 的錯誤訊息     Cause:   ·          此問題與 GPMC 介面上的 WMI 篩選有關 , 因為機器的 WMI 發生問題所以無法執行 WMI 篩選的工作才出現錯誤     ·          從 WMI 控制台確認此台機器 WMI 的確有問題     Resolution: ·         ...
  • Blog Post: Windows Svr 2008 Std R2 AL,Windows shuts down slowly

    Problem ======= Windows shuts down slowly Solution ======== To check this setting on Windows 2008 R2, follow these steps: 1. Click Start , type secpol.msc , and then press ENTER. 2. Expand Local Policies . 3. Click Security Options...
  • Blog Post: Sysvol與Netlogon分享權限遺失

    經常遇到Sysvol或是netlogon分享資料夾沒有共用出來 請確認資料夾結構正確,若是資料夾遺失,請重新建立空的資料夾 1.停用NETLOGON服務 2. 開始>執行>輸入 regedit 按下確定. 2. 找到以下登陸值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 3. 看到右邊是窗,雙擊 SysvolReady 修改. 4. 僵直改為 1 , 點選確定. 5.重新啟動NETLOGON服務 啟動後應該可以看到資料夾已正常分享出來
  • Blog Post: 變更連線網域控制站狀態顯示不可用

    當您透過AD User and Computer變更連線網域控制站 DC狀態 不可用,但是仍然可以正常連線 AD User and computer ->domain name->change directory server, found it shows Domain controller is unavailable 建議方法 確認為IPV6導致,若是不想看套此狀態,您可以嘗試停用或是啟用IPV6
  • Blog Post: 如何在gpmc下使用WMI篩選器,讓群組原則套用至特定的作業系統?

    以Windows 防火牆為例,在Windows XP 下有傳統的Windows 防火牆,而在Windows Vista及Windows 7下提供了更進階功能的Windows 防火牆。如果IT想要設定二條Policy,第一條policy是使用新的Windows Firewall policy,希望只套用在Windows Vista及Windows 7的作業系統,而另一條Policy設定傳統的Windows Firewall policy,只套用在Windows XP,可以參考以下的做法。 1.在DC 上,開啟GPMC,找到WMI篩選器。 2.右鍵點選「新增」,在名稱裏輸入您指定的名稱...
  • Blog Post: Replication issue

    DCDIAG.TXT    Testing server: Default-First-Site-Name\ADMAIL       Starting test: Replications          * Replications Check          [Replications Check,ADMAIL] A recent replication attempt...
  • Blog Post: Pre 2000 帳號字元長度無法超過20個字元, 是否為系統限制? 可否調整?

    User Logon name(pre-Windows 2000)無法超過20個字元的限制是系統為了相容之前版本的設計,並且無法變更長度限制,變通作法即是以User Logon name(User Principal Name) 來登入,相關說明及建議作法請參考下列資料: Explanation =========== I would like to point out that in Windows 2000/above domain, there are two logon name: UPN name (user principal name) and SAMAccountName...
  • Blog Post: Join Domain Fail

    癥狀 1.用戶端無法Join Domain 2.透過Terminal Server無法遠程登入伺服器,錯誤:存取被拒 3.RMS Server無法開啟檔案 解決方法 確認設置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\DefaultSecurity\SrvsvcDefaultShareInfo 使用net share IPC$ 確認沒有人有權限存取 刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver...
  • Blog Post: DC重新開機後執行nltest /query , nltest /dsregdns會出現錯誤訊息: ERROR_NO_LOGON_SERVERS

    問題描述 DC重新開機後執行nltest /query , nltest /dsregdns會出現錯誤訊息: ERROR_NO_LOGON_SERVERS 相關資訊 此狀況是正常現象並不會影響AD的運作. After the restart netlogon service or reboot, the security channel between the DC and the PDC will be reset to invalid: 11/24 11:11:07 [SESSION] CBIS: NlSetStatusClientSession: Set...
  • Blog Post: DS - 當您執行 "gpresult" 指令時發生 Access Denied 錯誤

    徵狀: ================ 1. 您打開 DOS 執行 "gpresult" 後得到 "Access Denied" 錯誤 2. 您執行 "gpupdate" 沒有問題,GPO套用成功 3. 您發現同一個 OU 下的其它台伺服器沒有這個問題。 4. 執行以下測試問題都無法解決。 A. Use "klist purge" command to purge all Kerberos tickets, run "gpresult /V", do you still get "Access Denied" error? 1. Download and install "Windows Server...
  • Blog Post: DC generate Event id 675 (0x19) from Win2k8 machine

    問題描述︰ DC authentication issue -DC generate Event id 675 (0x19) from Win2k8 machine 解決方式︰ 這是Windows 2003 和Windows 2008 在驗証協定上設計的不同點,有兩種方式可以避免: 1. We can check "Do not require Kerberos pre-authentication" of User account in AD user & computer console, we will not longer get the same event for users...
  • Blog Post: How to deploy Communicator.msp?

    1.請您將CommunicatorVolume.msi , Communicator.msp檔案儲存在一個資料夾.例如: C:\temp 2.並確認您目前分享的資料夾.此亦為您目前軟體派送的資料夾, 在此以 C:\share\moc 資料夾為例 3請使用 Msiexec /a CommunicatorVolume.msi TARGETDIR =C:\share\moc 將安裝檔案解開, 解開後您亦可以看到會有產生 PFiles 及System32 資料夾 4.使用 msiexec /p Communicator.msp /a C:\share\moc\CommunicatorVolume...