環境 & 問題描述
============
CA : Server 2008 SP1 Standard OS安裝Enterprise Root CA
DC : Server 2008 SP1 DC & Server 2003 SP2 DC
Server 2008 DCs本身的憑證 (Domain Controller範本申請的憑證)過期而沒有自動Renew , 但是Server 2003 DC會自行Renew

問題原因
============
1. 環境有透過GPO啟動Auto-Enrollment機制
2. 環境CA是Enterprise CA搭配Server 2008 Standard OS , 無法支援V2 憑證範本的Auto-Enrollment功能

解決方式
============

方法一

將Enterprise CA移轉至Server 2008 Enterprise OS或是Server 2008 R2 任何版本的OS
藉此讓Auto-Enrollment機制可以生效 (較建議的方式)

方法二

停用GPO的Auto-Enrollment設定 (因為目前環境無法針對V2憑證範本進行Auto-Enrollment , 所以此設定目前也不會生效)

詳細分析說明
============

預設DC 在沒有進行任何設定時 , 只要環境安裝了Enterprise CA (不管安裝在什麼SKU)

DC都會自動透過預設的設定跟Enterprise CA申請[Domain Controller]此範本的憑證 (此為V1的憑證範本 , 何謂V1 V2範本請閱底下參考資料)

此機制是透過Automatic Certificate Request Settings (ACRS)來進行動作 , 而不是我們目前常說的Auto-Enrollment
(ACRS是Windows 2000時代部屬憑證的方式)

Auto-Enrollment的部分是由Server 2003開始才有的技術 , 要使用憑證的Auto-Enrollment時需要達到底下需求

摘錄: http://technet.microsoft.com/en-us/library/cc783873(v=ws.10)
Windows Server 2003 schema and Group Policy updates
Windows 2000 Server domain controllers running Service Pack 3 or later
Windows XP Professional or Windows Server 2003 clients
Windows Server 2003, Enterprise Edition or Datacenter Edition running as an Enterprise CA

上述需求達成後 , 我們則可以透過GPO的方式將Auto-Enrollment啟動 , 讓Client端可以透過此方式針對V2的憑證範本進行自動申請動作

而如果啟動Auto-Enrollment的設定時 , DC在進行本身憑證的取得時依據OS版本會有不同的行為

Server 2003 DC的行為
==============

1. 啟動Auto-Enrollment後 , 系統在開機時或是GPO套用時針對底下V2的憑證範本進行申請 or 更新

    a. Domain Controller Authentication

    b. Directory Mail Replication

    c. Kerberos Authentication (如果Enterprise CA是裝在Server 2008之後的系統時才會有)

2. 如果上述動作可以成功時 , 則整個流程就完成

3. 假設上述因為某些因素無法申請 or 更新時 (如Enterprise CA裝在Server 2008 Standard OS時 or 權限不足)則會進行下一個動作

4. 透過內建預設的方式跟Enterprise CA透過Domain Controller此V1範本來進行憑證申請 or 更新

PS: 原先V1的Domain Controller範本於Server 2003時已經將其分割成上述a & b兩個V2憑證範本
而在Server 2008出來時又多一個Kerberos Authentication的V2憑證範本

Server 2008 DC的行為
==============

1. 啟動Auto-Enrollment後 , 系統在開機時或是GPO套用時針對底下V2的憑證範本進行申請 or 更新

    a. Domain Controller Authentication

    b. Directory Mail Replication

    c. Kerberos Authentication (如果Enterprise CA是裝在Server 2008之後的系統時才會有)

2. 如果上述動作可以成功時 , 則整個流程就完成

3. 假設上述因為某些因素無法申請 or 更新時 (如Enterprise CA裝在Server 2008 Standard OS時 or 權限不足 or 其他因素)
則不會進行後續動作 (不會像Server 2003一樣跟CA透過V1的Domain Controller範本進行申請 or 更新)

所以由此可以得知為何只有外點的Server 2003 DC沒有受到影響 , 而其他Server 2008 DC都有此問題

相關參考資料
==============

何謂V1 , V2 , V3 憑證範本?
我們從Certificate Template的管理畫面內可以看到底下資訊 , Minimum Supported CAs分別會有三種值
Windows 2000 -> V1 憑證範本 (內建 , 無法編輯內容)
Windows Server 2003 Enterprise -> V2 憑證範本 (最常用 , 將V1憑證範本進行複製後即可產生V2 Template , 可以修改裡面內容如年限 & Support Auto-Enrollment等)
Windows Server 2008 Enterprise -> V3 憑證範本 (涵蓋V2憑證範本的所有功能並多ㄧ些新功能)


詳細資訊可以參考底下網址
Designing and Implementing a PKI: Part III Certificate Templates
http://blogs.technet.com/b/askds/archive/2010/05/27/designing-and-implementing-a-pki-part-iii-certificate-templates.aspx

MS-DOS bootable USB flash is still very useful today. It could be used to access a system that doesn't have any OS installed. Or, it's mostly used to flash BIOS or other firmwares from DOS mode.

There is an existing document in the sevenforum.com that gives you step by step instruction on how to create a MS-DOS bootable flash drive using HP USB Disk Storage Format tool. See link here:

http://www.sevenforums.com/tutorials/46707-ms-dos-bootable-flash-drive-create.html

However, this method may not work for all the USB flash drvies.

Ex: It does not work for my Kingston 4.0GB USB flash drive

Here is another workaround:

Step1: Download rufus utility, Rufus v 1.1.7 without FreeDOS Support (154KB) from here:

https://github.com/pbatard/rufus/downloads

Step2: Download win98_bootdisk.iso image from allbootdisks.com:

http://www.allbootdisks.com/download/iso.html

Step3: Run rufus_v1.1.7.exe

Step4: click the disk icon to the right of "Create a bootable disk using:", and selected the win98_bootdisk.iso you downloaded in step2.

Step5: click start, once you are finished. You could copy your BIOS upgrade files to this USB flash and run the executables in DOS mode.

問題徵狀：Windows XP Professional ZH-更新KB2695962後無法使用SSL VPN機制連線的問題

客戶反映更新KB2695962後無法使用SSL VPN的機制連線，移除掉KB2695962之後就可以連線。

解決方法：

如果您的網路設備是Cisco ASA 5500 Series，目前確認是相容問題，請聯繫Cisco做升級。

Cisco ASA 5500 Series SSL VPN機制連線安裝KB2695962後無法連線http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-asaclient

· 問題徵狀：Windows XP Professional ZH-點選開始的「關機」選項後，會延遲兩分鐘左右才出現功能選單

過了兩分鐘才出現

問題說明：

您可能會在事件檢視器裡看到下列的訊息：

找不到來自來源 DCOM 之事件識別碼 10010 的描述。本機電腦可能並未安裝引發此事件的元件，或安裝已損毀。您可以在本機電腦上安裝或修復該元件。

如果事件源自其他電腦，則儲存它們時必須一併儲存顯示資訊。

下列資訊已隨附於該事件:

{9B1F122C-2982-4E91-AA8B-E071D54F2A4D}

GUID：9B1F122C-2982-4E91-AA8B-E071D54F2A4D是CAutoUpdate Class 1.0的元件

之所以發生這個問題，是因為CAutoUpdate Class 1.0的元件 在SoftwareDistribution以及子資料匣內無法找到對應的參數。當「元件物件模型」(COM) 物件嘗試登錄時，會將登錄訊息發佈至 CAutoUpdate Class 1.0。由於 CAutoUpdate Class 1.0並未執行，因此登錄訊息會逾時。接著，COM 元件就會在終端機伺服器上記錄事件 ID 錯誤訊息。

通常發生的原因，是因為SoftwareDistribution裡面的資料損毀所導致。

解決方法：

重新命名SoftwareDistribution以及子資料匣

請您將下列指令存成fix.bat，並在發生問題的電腦上執行。

Net stop bits

Net stop wuauserv

cd \documents and settings\all users\application data\microsoft\network\downloader

Del qmgr0.dat

Del qmgr1.dat

cd %systemroot%

Ren SoftwareDistribution SoftwareDistribution.old

Net start bits

Net start wuauserv

再點關機，已可正常點選。

[問題描述]︰
 
依指令 netsh dhcp server set databasecleanupinterval 15
設定 DHCP Server , address pool 並未依設定每15分鐘進行清除與更新，

 
[解決方法]︰
 
新增機碼LeaseExtension以定期清除逾期的 IP address
 
[說明]：
 
1.      預設下，DHCP會在IP address租用過期4小時後，將此IP address標示為 [刪除] 狀態。
         此被設定為 [刪除] 狀態的IP address預設需經過1小時才會自DHCP database 被清除。
         但若環境中沒有足夠的可用IP可提供租用，也會立即清除以被認定為 [刪除] 狀態的IP。
3.      設定LeaseExtension  機碼會變更預設將租用到期的IP addres標示為[刪除] 狀態的時間。
         set databasecleanupinterval 則是變更清除[刪除] 狀態IP address的時間。

[如何設定]：
 
A.         請透過 [執行] > [regedit] > 找到下面的機碼位置：
            HKLM\System\CurrentControlSet\Services\DHCPServer\Parameters
            新增機碼名稱：LeaseExtension
            Value Type: DWORD
            Value Data: time in minutes
 
[參考資料]：
 
Determining Lease Duration
http://technet.microsoft.com/en-us/library/cc783573(WS.10).aspx
 
Although reducing the lease duration creates more DHCP-related network traffic, it increases the rate at which addresses are returned to the available address pool for reassignment. With an average volume of DHCP request traffic, Windows Server 2003 DHCP has a four-hour default grace period after which an expired lease can be reused. This means that an address is marked for deletion four hours after the lease expires, regardless of lease duration. When the volume of DHCP-related traffic is heavy and no leases are available to service lease requests, DHCP immediately instantiates a cleanup cycle, which reclaims any leases marked for deletion. By default, the cleanup cycle occurs every 60 minutes. You can adjust the duration of the default grace period after which an expired lease is marked for deletion by editing the following key in the registry:

DatabaseCleanupInterval
http://technet.microsoft.com/en-us/library/cc963208.aspx

Description

Determines how often the Dynamic Host Configuration Protocol (DHCP) Service deletes expired ( doomed ) records from the DHCP client information database. By default, records expire after four hours. Deleting expired records releases space for new IP addresses.