Taiwan CSS Platform Team

Your Potential, Our Passion.
Tags

Browse by Tags

TechNet Blogs » Taiwan CSS Platform Team » All Tags » 目錄服務
Related Posts

  • Blog Post: How to Disabling SID Filter Quarantining & Allowing SID History

    Carrey Lin
    Domain A is old domain. Domain B is new Domain. Step1: check sidhistory sid. 1. On a domain controller in Domain B , run ldp.exe, click the Connection menu, click Connect, type the domainB DC name and port 389, click OK to connect to the server. 2.Click the Connection menu again and click bind...
    on 6 May 2010

  • Blog Post: Windows 2003 Web Server 如何更新憑證?

    Carrey Lin
    第一階段: 開啟 IIS Console 點選到 目錄安全設定.請先檢視憑證. 再將此原本憑證匯出含有私密金鑰憑證 完成匯出備份後.請點選[伺服器憑證] 進入網頁伺服器憑證精靈,請按[下一步] 請點選 [更新目前的憑證] ,請按[下一步] 請點選 [準備要求,但於稍後傳送] ,請按[下一步] 給此憑證要求一個儲存檔名及路徑 ,請按[下一步] 最後確認建立[要求檔案] ,請按[下一步] 完成建立要求憑證檔案,請按完成 第二階段: IE瀏覽網頁申請網頁更新伺服器憑證 請瀏覽到您的CA server...
    on 14 Sep 2010

  • Blog Post: CA到期後,如何延長期限?

    Carrey Lin
    1.CA server 本身的 生命期限 How to renew the CA certificate: Go to the Certificate Authority and highlight the server name. Right click and go to All Tasks. At the bottom is the option to renew CA certificate. This will ask you to stop the Certificate Services. Select yes. It brings up a dialog...
    on 21 Jan 2010

  • Blog Post: 如何將憑證CRL發佈到其他IIS Server

    Carrey Lin
    如何將CRL發佈到其他IIS Server 1. 在IIS Server上面新增一個資料夾,如C:\CRL,並將其設定共用,設定成所有人可以完全控制此目錄 (共用 & 安全性都要設定) 2. 在IIS上面的預設網站上新增一個虛擬目錄,並取名為CRL且指向C:\CRL資料夾 3. 設定成Read即可 4. 設定完成後回到CA Server上面打開管理介面,並對Server名稱點右鍵 – Properties,並在Extensions底下點選Add 5. 在Location輸入 file://\\IISservername\CRL\<CaName><CRLNameSuffix><DeltaCRLAllowed>...
    on 11 May 2012

  • Blog Post: How to prevent a computer from running a user logon script in Windows Server 2008

    Carrey Lin
    問題描述: You may experience certain situations where you may want to prevent a computer from running a user logon script. For example, you may want to do this when a terminal server hosts a special environment for a forest. A. KB 924034於server 2008也適用 ( 此為未使用GPO做法),即是logon script套用至user物件上 ======...
    on 27 Apr 2012

  • Blog Post: 使用gpupdate /force嘗試套用GPO時無法正常套用電腦設定 - STATUS_LOGON_TYPE_NOT_GRANTED

    Carrey Lin
    問題描述 ================== 使用gpupdate /force嘗試套用GPO時無法正常套用電腦設定 從網路封包內可以看到DC回傳底下錯誤訊息 - STATUS_LOGON_TYPE_NOT_GRANTED 問題原因 ================== 經過確認後此問題是因為Default Domain Controller Policy裡面的安全性設定原則 "從網路存取這台電腦"內沒有Everyone存在所導致 解決方式 ================== 將該原則 - 從網路存取這台電腦" 加入Everyone後於DCs執行gpupdate...
    on 11 May 2012

  • Blog Post: A DNS “zone transfer” zone always missing after DNS service restart

    Carrey Lin
    Problem description ============= If you find a DNS “zone transfer” zone [abc.com] always auto disappear after restart server or restart DNS service. Example ====== Parent domain: abc.com Child domain: tw.abc.com tw.abc.com domain using zone transfer function replicated abc.com domain. Cause =...
    on 19 Mar 2009

  • Blog Post: GPO 無法套用

    Carrey Lin
    問題描述 ︰ gpupdate /force 處理電腦原則時發生下列警告: Windows 無法套用 Group Policy Files 設定。Group Policy Files 設定可能有自己的記錄檔。請按一下 [其他資訊] 連結。 Windows 無法套用 Group Policy Registry 設定。Group Policy Registry 設定可能有自己的記錄檔。請按一下 [其他資訊] 連結。 Windows 無法套用 IP Security 設定。IP Security 設定可能有自己的記錄檔。請按一下 [其他資訊] 連結。 Windows 無法記錄群組原則無法延伸...
    on 20 Mar 2012

  • Blog Post: 以get-adgroup PowerShell指令輸出csv檔時,部分欄位值出現異常

    Carrey Lin
    問題: 當您以get-adgroup搭配Export-Csv 指令輸出為csv檔時,部分欄位值被變更為 "Microsoft.ActiveDirectory.Management.ADPropertyValueCollection" 原指令: get-adgroup -filter * -Properties * | select-object name,mail,description,ManagedBy,dlMemSubmitPerms | Export-Csv c:\adgroup.csv 輸出結果: 修改後的指令: get-adgroup -filter...
    on 27 Apr 2012

  • Blog Post: 除了AD授權還原以外如何快速恢復誤刪除的電腦或使用者帳號

    Carrey Lin
    AdRestore v1.1 By Mark Russinovich Published: November 1, 2006 Introduction Windows Server 2003 introduces the ability to restore deleted ("tombstoned") objects. This simple command-line utility enumerates the deleted objects in a domain and gives you the option of restoring each one. Source code is...
    on 16 Dec 2008

  • Blog Post: DC NETLOGON 服務無法自動啟動

    Carrey Lin
    問題描述 ︰ Windows Server 2008/重新啟動電腦後,NetLogon服務無法自動啟動並且啟動後馬上又停用 解決方法 ︰ 記錄檔名稱: Directory Service 來源: Microsoft-Windows-ActiveDirectory_DomainService 日期: 2009/7/26 下午 05:32:52 事件識別碼: 2103 工作類別: 服務控制 等級: 錯誤 關鍵字: 傳統 使用者: ANONYMOUS LOGON 電腦: DC.msft.com 描述: 已經使用不支援的還原程序來還原...
    on 16 Sep 2009

  • Blog Post: 無法存取SYSVOL導致GPO套用失敗

    Carrey Lin
    根據Userenv log Found file system path of: <\\msft.com\sysvol\topsnmq.chtn.com.tw\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}> USERENV(154.3c8) 10:12:20:687 ProcessGPO: Couldn't find the group policy template file <\\msft.com\sysvol\msft.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9...
    on 20 Oct 2009

  • Blog Post: User cannot create accounts on Active User and computer

    Carrey Lin
    發生原因 : 可能為大量建立帳號或是使用非正常方式還原DC導致,原來RID pool序號應該每台是根據RID Master發出的序號 如何看DC RID Pool是否正常可以由Dcdiag /v log找到以下 客戶在在AD2上是可以建立帳號的,因為pool ID 正確 Starting test: RidManager * Available RID Pool for the Domain is 5111 to 1073741823 * ads.pglamer.com.tw is the RID Master * DsBind with RID Master was successful...
    on 14 Oct 2008

  • Blog Post: Windows Vista/2008 加入Windows 2003 網域後.Windows 2003 DC上出現稽核失敗事件ID 675

    Carrey Lin
    Error Screenshot: 解決方法: Because of design change pre-authentication is not forced on Vista and Windows 2008 machines. We can force pre-authentication on Windows Vista machines using following registry value: HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters Value Name = DefaultEncryptionType...
    on 6 May 2010

  • Blog Post: AD帳號"密碼永久有效"修改後自動取消勾選

    Carrey Lin
    問題描述 ︰ 特定使用者勾選 “password never expire issue”後約半小時勾選自動取消 發生原因 ︰ 當特定使用者隸屬保護群組時會發生這樣的行為 解決方法 ︰ Windows Server 2003 和 Windows 2000 中的受保護群組: · Administrators · Account Operators · Server Operators · Print Operators · Backup Operators...
    on 20 Feb 2012

  • Blog Post: 為何XP Client可以使用新舊密碼和DC驗證

    Carrey Lin
    1. 自 2003 SP1 起 , 我們提供了一個與 NTLM 認證相關的新機制 : 如果使用者通過 NTLM 認證方式 與DC之間建立session, 並且在這個 session 中修改了密碼 ; 那麼當使用者再次通過 網路驗證 的方式提供舊密碼並且訪問資源時, 舊密碼仍然可用; 具體可以參考: http://support.microsoft.com/kb/906305/en-us 關於NTLM與網路認證的相關資料: 1) NTLM 認證的相關資料 : http://msdn.microsoft.com/en-us/library/aa378749(v=vs...
    on 15 Mar 2012

  • Blog Post: 使用WMI Filter 過濾網段套用GPO

    Carrey Lin
    您可以使用WMI Filter 指定特定網段套用 GPO , 以下為實例: 此套用邏輯為, 採用Win32_IP4RouteTable 從 Route Table 中,defaultGetwayIP 進行比對, 然後套用GPO 也就是說,具有相同Default Getway 均會套用此GPO 以下為相關語法及範例: select * From Win32_IP4RouteTable where mask="0.0.0.0" and NextHop="defaultGetewayIP" ex: defaultGetewayIP : 10.10.0.254 ...
    on 15 Aug 2011

  • Blog Post: 佈署自動隱藏工具列

    Carrey Lin
    大量佈署自動隱藏工具列 請設定一個bat文件內容如下,請將其放到User Logon script @echo off reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects2 /v Settings /t REG_BINARY /d "28000000ffffffff0300000003000000920000002200000000000000de0200000005000000030000" /f taskkill /f /IM explorer.exe explorer...
    on 25 Apr 2012

  • Blog Post: Server 2008 R2升級成DC後,登入後只會顯示空白的桌面

    Carrey Lin
    問題狀況 ================== Server 2008 R2升級成DC後,登入後只會顯示空白的桌面 問題原因 & 解決方法 ================== 經過確認後此問題是因為 AD上的Users群組內沒有 Authenticated Users & INTERACTIVE兩個成員 所導致 透過底下Command在其他DC還原設定後 , 等待AD覆寫完成此問題已經獲得解決 Net localgroup Users Interactive /add Net localgroup Users "Authenticated Users...
    on 22 Mar 2012

  • Blog Post: Windows 2008 軟體派送設定步驟

    Carrey Lin
    Windows 2008 軟體派送設定步驟: 請開啟[電腦設定]\[原則]\[軟體設定]\[軟體安裝], 右鍵點選[軟體安裝] ,並[新增]\[封裝] 新增封裝請您採用網路存取到您存放 .msi 軟體路徑. 其中軟體存放路徑.您需要確認此軟體存放的資料夾 System 是有權限存取的,避免有其他異狀. 建議您將此軟體存放在此軟體派送GPO之相對GPO存放的資料夾 選定軟體後.會提是您部署方法,請您點選[指派] 完成後,您會看到軟體部署相關資訊及其安裝來源
    on 10 Aug 2009

  • Blog Post: How to audit password change for account in AD domain?

    Carrey Lin
    1. Enable account management: Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy - Audit Account management 2. After that, you'll need to run: C:\gpupdate /force When a user changed password, you will find below security event: For example, test account...
    on 6 Sep 2010

  • Blog Post: Extending Root CA Certificate lifetime

    Carrey Lin
    如何檢是目前 CA 視為獨立CA 還是企業 CA? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ {Your CA name} \CAType CAType = 0 (This means it is installed as Enterprise Root CA) CAType = 1 (This means it is installed as Enterprise Subordinate CA) CAType = 3 (This means it is installed as Stand...
    on 24 Aug 2009

  • Blog Post: 如何突破可設定密碼RODC複寫 cache 1500個以上的account(user或computer)

    Carrey Lin
    原因 If more than 1,500 accounts (users, computers, or groups) are added to the Allowed list (the msDS-RevealOnDemandGroup attribute) of an RODC, the RODC stops caching passwords for all security principals in the Allowed list. This occurs when you add security principals using either the repadmin ...
    on 22 Apr 2010

  • Blog Post: Extending Sub-CA Certificate lifetime

    Carrey Lin
    修改 RootCA 的有效期間設定,請依照下列步驟。 開啟「登錄編輯器」。 請找到下面的登錄機碼: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSrv\Configuration\<CAname> 請按兩下 ValidityPeriod REG_SZ 登錄值並將有效期間更改為下列其中一個選項: -Days -Weeks -Months -Years 請按兩下ValidityPeriodUnits REG_DWORD 登錄值並更改您想要的日,周,月或年等數字...
    on 30 Dec 2011

  • Blog Post: 關於Windows 2003 domain管理WPA2+AES policy的問題

    Carrey Lin
    在Windows 2003的DC裏,預設的Group policy是看不到WPA2+AES的設定的。如果有XP Client的無線網路需要套用這個設定,請參考以下的建議。 1. 找一台比XP還新的版本的OS,例如Windows 7 SP1,加入Domain。 2. 安裝「遠端伺服器管理工具」。下載點為 http://www.microsoft.com/downloads/details.aspx?familyid=7d2f6ad7-656b-4313-a005-4e344e43997d&displaylang=zh-tw 3. 安裝完後,在控制台>程式和功能裏,點選左邊的...
    on 18 Jul 2011