OSCE11 資訊中心頁面出現 HTTP 錯誤 500.0 - Internal Server Error 發生不明的FastCGI錯誤 錯誤碼0x800736b1
http://esupport.trendmicro.com/solution/zh-tw/1110783.aspx
2015年12月31日 星期四
Officescan 11 升級至SP1 資訊中心發生錯誤訊息
OSCE11 資訊中心頁面出現 HTTP 錯誤 500.0 - Internal Server Error 發生不明的FastCGI錯誤 錯誤碼0x800736b1
2015年12月10日 星期四
nmap 參數
安裝完成後您就可使用 nmap 指令配合下列介紹的參數來進行掃描測試。
TCP connect 掃描(Port Scanning):-sT
這是對 TCP 的最基本形式的偵測,直接連到目標主機進行埠掃描並完成一個完整的三次交握過程 (SYN, SYN/ACK, ACK),但因為服務器接受了一個連接但它卻馬上斷開,於是其記錄會顯示出一連串的連接及錯誤資訊很容易被目標主電腦察覺並記錄下來,因此缺點是容易被目標系統檢測到。
TCP SYN(半公開)掃描 :-sS
這種掃描技術也叫半公開式掃描 (half-open scanning),因為它沒有完成一個完整的 TCP 連接三次交握過程。此方法為向目標 Port 發送一個 SYN 封包,如果目標 Port 回應 SYN / ACK 封包則表示該 Port 處於打開狀態;若回應的是 RST / ACK 封包則表示該 Port 為關閉狀態。這種掃描方法比 TCP Connect Scan 更具隱蔽性,只有極少數的網站會對它作出記錄因此比較不會在目標系統中留下掃描痕跡。
Stealth FIN、Xmas Tree或 NULL秘密掃描(Stealth Scanning) :-sF -sX -sN
一些防火墻及 Packet 過濾裝置會在重要連接 Port 守護,半公開的 SYN 封包掃描會在此時會被截獲因此要有更秘密的進行掃描;而 FIN、Xmas、NULL 掃描方法則是關閉的連接埠會對你送出的探測資訊包返回一個 RST,而打開的連接埠則對其忽略不理可參考 [RFC793],其中 FIN 掃瞄使用空的 FIN 資訊包作為探針、Xmas tree 使用 FIN、URG、PUSH 標記、Null 掃描則不用任何標記,但微軟不支援此一標準,所以 -sF,-sX,-sN 的掃瞄顯示所有連接埠都是關閉的但一個 SYN(-sS) 掃瞄卻顯示有打開連接埠,那你就能大致推斷它是 WINDOWS 平台。
ICMP 掃描 (Ping Sweeping):-sP
若僅想了解網路上有哪些主電腦是開放的,你可對你指定的IP地址送出一個 ICMP 的 Echo Request 封包來偵測。但有些站台會把 ICMP 的 Echo Request 封包給關掉 (例如Microsoft.com)。在這種情況下可利用發送 TCP Ping 送一個 ACK 到目標網路上的每個主機。網路上的主機如果在線,則會返回一個 TCP RST 響應。使用帶有 Ping 掃描的 TCP Ping 選項,也就是 -PT 選項可以對網絡上指定 Port 進行掃描,它將可能通過目標邊界路由器甚至是防火牆。注意,被探測的主機上的目標 Port 無須打開,關鍵取決於是否在網路上。
TCP ftp Proxy(跳躍攻擊)掃描 :-b (ftp relay host)
FTP Protocol 有個特點即它支持 Proxy FTP 連接 [RFC 959] 換句話說我們可以從 aaa.com 連接到一個 FTP 服務器 bbb.com 並且要求目標主電腦送出文件到 Internet 的 任何地方 在 1985 年這一 RFC 被寫下來後這一特性便漸漸流行,但現在的網路上我們不允許人們能夠隨意地 搶劫 一個 FTP SERVER 並請求資料到任何地方。所以在 Hobbit 於 1995 年寫下的有關這一協議缺陷時說到它可以用來從許多站台上發出事實上難以追查的信件、新聞以及攻擊性行為——填充你的硬碟,試圖使防火牆失效或者更多是煩人而無意義的騷擾。我開發出它來是為了通過一個代理 FTP 服務器察看 TCP 連接埠,這樣你可以連上一個在防火牆後的 FTP 服務器然後掃瞄它看來仿佛堵塞的連接埠(139 是很好的例子)。如果 FTP 服務器允許你讀甚至寫進某些目錄(比如 /incoming),你可以送出任意資訊到你發現打開了的連接埠(當然 nmap 不干這事)。對於你要通過 'b' 選項來使主電腦成為你的代理時,標準的 URL 格式形式是: username:password@server:port 要確定一個服務器是否易受這樣的攻擊。
UDP掃描 (UDP Scanning):-sU
可用來確定遠端主機開放哪些 UDP Port 原理為送出零位元組的 UDP 封包到目標主機的各連接埠,如果我們收到一個 ICMP port unreachable 無法到達的回應則可確定連接埠是關閉的,否則我們可認為該埠是打開的。
作業系統識別(OS Fingerprinting):-O
通常一個入侵者可能對某個作業系統的漏洞很熟悉,能藉由漏洞很輕易地進入此作業系統的機器。一個常見的選項是 TCP / IP 上的指紋,帶有 -O 選項決定遠端作業系統的類型。這可以和一個 Port 掃描結合使用,但不能和 Ping 掃描結合使用。 ex. nmap -sS -O www.yourserver.com
Ident 掃描(Ident Scanning):-I
一個攻擊者常常尋找一台對於某些執行程序存在漏洞的電腦。例如一個以 root 在 run 的 WEB Server。如果目標主機運行了 identd 一個攻擊者使用 Nmap 通過 -I 選項的 TCP 連接,可以發現哪個用戶擁有 http 執行序。 ex. nmap -sT -p 80 -I www.yourserver.com
http://wiki.weithenn.org/cgi-bin/wiki.pl?Nmap-%E6%8E%83%E7%9E%84%E4%B8%BB%E6%A9%9F%E6%89%80%E9%96%8B%E5%95%9F%E7%9A%84_Port
TCP connect 掃描(Port Scanning):-sT
這是對 TCP 的最基本形式的偵測,直接連到目標主機進行埠掃描並完成一個完整的三次交握過程 (SYN, SYN/ACK, ACK),但因為服務器接受了一個連接但它卻馬上斷開,於是其記錄會顯示出一連串的連接及錯誤資訊很容易被目標主電腦察覺並記錄下來,因此缺點是容易被目標系統檢測到。
TCP SYN(半公開)掃描 :-sS
這種掃描技術也叫半公開式掃描 (half-open scanning),因為它沒有完成一個完整的 TCP 連接三次交握過程。此方法為向目標 Port 發送一個 SYN 封包,如果目標 Port 回應 SYN / ACK 封包則表示該 Port 處於打開狀態;若回應的是 RST / ACK 封包則表示該 Port 為關閉狀態。這種掃描方法比 TCP Connect Scan 更具隱蔽性,只有極少數的網站會對它作出記錄因此比較不會在目標系統中留下掃描痕跡。
Stealth FIN、Xmas Tree或 NULL秘密掃描(Stealth Scanning) :-sF -sX -sN
一些防火墻及 Packet 過濾裝置會在重要連接 Port 守護,半公開的 SYN 封包掃描會在此時會被截獲因此要有更秘密的進行掃描;而 FIN、Xmas、NULL 掃描方法則是關閉的連接埠會對你送出的探測資訊包返回一個 RST,而打開的連接埠則對其忽略不理可參考 [RFC793],其中 FIN 掃瞄使用空的 FIN 資訊包作為探針、Xmas tree 使用 FIN、URG、PUSH 標記、Null 掃描則不用任何標記,但微軟不支援此一標準,所以 -sF,-sX,-sN 的掃瞄顯示所有連接埠都是關閉的但一個 SYN(-sS) 掃瞄卻顯示有打開連接埠,那你就能大致推斷它是 WINDOWS 平台。
ICMP 掃描 (Ping Sweeping):-sP
若僅想了解網路上有哪些主電腦是開放的,你可對你指定的IP地址送出一個 ICMP 的 Echo Request 封包來偵測。但有些站台會把 ICMP 的 Echo Request 封包給關掉 (例如Microsoft.com)。在這種情況下可利用發送 TCP Ping 送一個 ACK 到目標網路上的每個主機。網路上的主機如果在線,則會返回一個 TCP RST 響應。使用帶有 Ping 掃描的 TCP Ping 選項,也就是 -PT 選項可以對網絡上指定 Port 進行掃描,它將可能通過目標邊界路由器甚至是防火牆。注意,被探測的主機上的目標 Port 無須打開,關鍵取決於是否在網路上。
TCP ftp Proxy(跳躍攻擊)掃描 :-b (ftp relay host)
FTP Protocol 有個特點即它支持 Proxy FTP 連接 [RFC 959] 換句話說我們可以從 aaa.com 連接到一個 FTP 服務器 bbb.com 並且要求目標主電腦送出文件到 Internet 的 任何地方 在 1985 年這一 RFC 被寫下來後這一特性便漸漸流行,但現在的網路上我們不允許人們能夠隨意地 搶劫 一個 FTP SERVER 並請求資料到任何地方。所以在 Hobbit 於 1995 年寫下的有關這一協議缺陷時說到它可以用來從許多站台上發出事實上難以追查的信件、新聞以及攻擊性行為——填充你的硬碟,試圖使防火牆失效或者更多是煩人而無意義的騷擾。我開發出它來是為了通過一個代理 FTP 服務器察看 TCP 連接埠,這樣你可以連上一個在防火牆後的 FTP 服務器然後掃瞄它看來仿佛堵塞的連接埠(139 是很好的例子)。如果 FTP 服務器允許你讀甚至寫進某些目錄(比如 /incoming),你可以送出任意資訊到你發現打開了的連接埠(當然 nmap 不干這事)。對於你要通過 'b' 選項來使主電腦成為你的代理時,標準的 URL 格式形式是: username:password@server:port 要確定一個服務器是否易受這樣的攻擊。
UDP掃描 (UDP Scanning):-sU
可用來確定遠端主機開放哪些 UDP Port 原理為送出零位元組的 UDP 封包到目標主機的各連接埠,如果我們收到一個 ICMP port unreachable 無法到達的回應則可確定連接埠是關閉的,否則我們可認為該埠是打開的。
作業系統識別(OS Fingerprinting):-O
通常一個入侵者可能對某個作業系統的漏洞很熟悉,能藉由漏洞很輕易地進入此作業系統的機器。一個常見的選項是 TCP / IP 上的指紋,帶有 -O 選項決定遠端作業系統的類型。這可以和一個 Port 掃描結合使用,但不能和 Ping 掃描結合使用。 ex. nmap -sS -O www.yourserver.com
Ident 掃描(Ident Scanning):-I
一個攻擊者常常尋找一台對於某些執行程序存在漏洞的電腦。例如一個以 root 在 run 的 WEB Server。如果目標主機運行了 identd 一個攻擊者使用 Nmap 通過 -I 選項的 TCP 連接,可以發現哪個用戶擁有 http 執行序。 ex. nmap -sT -p 80 -I www.yourserver.com
http://wiki.weithenn.org/cgi-bin/wiki.pl?Nmap-%E6%8E%83%E7%9E%84%E4%B8%BB%E6%A9%9F%E6%89%80%E9%96%8B%E5%95%9F%E7%9A%84_Port
常用指令
net localgroup Administrators "gilson\%username%" delete
移除網域使用者的本機Administrators
echo %logonserver%
批次檔 大量修改密碼
CLS
@ECHO Off
COLOR 70
MODE CON COLS=65 LINES=40
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
ECHO ----------------------------------------------------------------
ECHO 正在自動設定密碼....
ECHO ----------------------------------------------------------------
for /F "tokens=1,2 delims=, " %%i in (D:\account.csv) do (
set username=%%i&set password=%%j
echo 正在設定 !username! 帳號之密碼為 !password!...
start /wait net user !username! !password! /domain
echo 設定完畢...
echo.
)
pause
rem REG DELETE "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
rem REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
exit
移除網域使用者的本機Administrators
echo %logonserver%
批次檔 大量修改密碼
CLS
@ECHO Off
COLOR 70
MODE CON COLS=65 LINES=40
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
ECHO ----------------------------------------------------------------
ECHO 正在自動設定密碼....
ECHO ----------------------------------------------------------------
for /F "tokens=1,2 delims=, " %%i in (D:\account.csv) do (
set username=%%i&set password=%%j
echo 正在設定 !username! 帳號之密碼為 !password!...
start /wait net user !username! !password! /domain
echo 設定完畢...
echo.
)
pause
rem REG DELETE "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
rem REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
exit
2015年12月8日 星期二
Officescan 10.3SP3 移轉至 Officescan 11 相關Q&A
Q1:以「移動代理程式」方式移到OFFICESCAN 11新伺服器,卻無法自動更新到
OFFICESCAN 11 OSCE主控台>>代理程式>>代理程式管理>>預設定群組>>設定>>權限和其他設定>其他設定 取消選取osce代理程式可更新元件,但無法升級代理程式或佈署hotfix 另請確認附圖機碼位置設定,若前2者都確認無誤,請執行以下步驟: 請在桌面>>開始>>執行,輸入以下指令: \\<IP or Server Name>\ofcscan\Autopcc.exe
Q2:移轉至新伺服器並手動升級至OFFICESCAN 11,會自動再移回舊伺器
請問是否已確認所有已移轉用戶端確實移轉成功,在新伺服器上確實有看見用戶端顯示在線上, Client icon也顯示線上?會自動再移回舊伺器是指?
請將client icon>>按右鍵元件版本,確認所連OSCE Server是否為新伺服器名稱和port
Q3:移回舊伺服器後,用戶端看不到Officescan 常駐程式,但是背景有運作
您是指說Client icon未顯示,還是點選其功能清單無法開啟?
確認pccntmon.exe、pccne.exe是否再執行?
Q4:新版Officescan 防火牆要開哪些Port?
Ports and protocols used by OfficeScan (OSCE) that should be allowed through a firewall or router http://esupport.trendmicro.com/solution/en-us/1054836.aspx
http://esupport.trendmicro.com/zh-tw/srf/twbizmain.aspx
Q5:使用Client Mover I/Ipxfer 工具來手動轉移OfficeScan 用戶端http://esupport.trendmicro.com/solution/zh-TW/1076243.aspx
Q6:[OSCE]用戶端移轉至新伺服器後,Client icon無法顯示,請參考以下步驟1.請在有問題用戶端執行以下指令:
開始>>執行,輸入\\<IP or Server Name>\ofcscan\Autopcc.exe
2.WEB Console>>代理程式>>代理程式管理>>選擇欲設定client>>權限和其他設定 OfficeScan 代理程式存取限制 確認是否選取"不允許使用者從系統匣或 Windows「開始」功能表存取 OfficeScan 代理程式主控台
2015年10月14日 星期三
Non-Broadcast Wireless SSIDs Why hidden wireless networks are a bad idea
隱藏wify ssid 是一件壞主意
Non-Broadcast Wireless SSIDs Why hidden wireless networks are a bad idea如下
http://blogs.technet.com/b/networking/archive/2008/02/08/non-broadcast-wireless-ssids-why-hidden-wireless-networks-are-a-bad-idea.aspx
使用指令查詢及修改Windows使用者權限
假設所有Domain Users在本機都擁有『Administrators』權限,若要將所有Domain Users都降至Local 『Users』權限,可在DC的『NETLOGON』批次檔新增下列的命令,讓User登入網域時自動執行,進到而達到自動變更權限的目的。
net localgroup "Administrators" /delete domain\%username%
net localgroup "Users" /add domain\%username%
備註:
01.第一行指令:移除該Domain User的Local Administrator權限
02.第二行指令:將該Domain User加入Local Users群組
03.以上的『domain』套用實際環境的網域名稱
轉至
http://ctwivan.blogspot.tw/2010/10/windows_24.html
net localgroup "Administrators" /delete domain\%username%
net localgroup "Users" /add domain\%username%
備註:
01.第一行指令:移除該Domain User的Local Administrator權限
02.第二行指令:將該Domain User加入Local Users群組
03.以上的『domain』套用實際環境的網域名稱
轉至
http://ctwivan.blogspot.tw/2010/10/windows_24.html
2015年9月22日 星期二
Windows 7: The driver \Driver\WUDFRd failed to load for the device... error
WindowsDriver Foundation - User-mode Driver Framework 服務改為啟用
參考文章
http://www.sevenforums.com/drivers/268212-driver-driver-wudfrd-failed-load-device-error.html
參考文章
http://www.sevenforums.com/drivers/268212-driver-driver-wudfrd-failed-load-device-error.html
2015年9月18日 星期五
ACL, DACL, SACL and the ACE
DACLs and ACEs
參考文章technet
https://msdn.microsoft.com/zh-tw/library/windows/desktop/aa446597(v=vs.85).aspx
ACL, DACL, SACL and the ACE
https://secureidentity.se/acl-dacl-sacl-and-the-ace/
參考文章technet
https://msdn.microsoft.com/zh-tw/library/windows/desktop/aa446597(v=vs.85).aspx
ACL, DACL, SACL and the ACE
https://secureidentity.se/acl-dacl-sacl-and-the-ace/
2015年9月9日 星期三
User Profile Service; Event ID: 1530
用戶端出現User Profile Service; Event ID: 1530 錯誤訊息
disable "Program Compatibility Assistant Service" system service,This error will disappear.
可以解決問題
參考文章
http://answers.microsoft.com/en-us/windows/forum/windows_8-performance/user-profile-service-event-id-1530/f4d28f40-0df2-4d1b-8add-14653913a5f6?auth=1
disable "Program Compatibility Assistant Service" system service,This error will disappear.
可以解決問題
參考文章
http://answers.microsoft.com/en-us/windows/forum/windows_8-performance/user-profile-service-event-id-1530/f4d28f40-0df2-4d1b-8add-14653913a5f6?auth=1
2015年9月3日 星期四
nltest commamd
nltest /dsgetdc:<DomainName> /force
nltest /SC_RESET:<DomainName>\<PDCServerName>
Nltest 可用來重新建立用戶端與 DC 之間的安全通道,可以不用退出網域再重新加入
nltest /SC_RESET:<DomainName>\<PDCServerName>
Nltest 可用來重新建立用戶端與 DC 之間的安全通道,可以不用退出網域再重新加入
2015年8月28日 星期五
2015年8月27日 星期四
MIS 不可不知的十種常見退信原因
轉貼
http://download.ithome.com.tw/article/index/id/1239
身為公司的 MIS 人員,每天最忙的一件事就是替同仁們解釋信件為什麼寄不出去了,明明寫的就是國中生英文程度的退信訊息,
但員工老闆們就是看不懂(最怕還的不是看不懂,而是解釋不聽!).
下面,我們歸納出十種最常見的退信原因,提供 MIS 人員們參考,在與員工解釋時,更加順手
第一名:收件人信箱爆了
這對方信箱容量已經超過了,你能有什麼辦法,沒辦法的,以下為常見的訊息
452 Message for **** would exceed mailbox quota
450 **** : out of quota
第二名:收件人不存在
對方主機根本沒這個信箱,最常見的是打錯字了,請 User 檢查一下吧,以下為常見的訊息
451 Requested mail action not taken: mailbox unavailable
第三名:信件過大,收件人伺服器拒收
一定是 User 的郵件內添加了過大的附件檔造成,此時將造成收件方拒收此封郵件
421 The Size of the Message Exceeds the Recipient's Size Limits For Incoming Emails
450 5.2.3 Msg Size Greater Than Allowed By Remote Host
第四名:碰上對方灰名單防垃圾機制
此一種狀況必須要第二次重寄才會成功,郵件無法即時寄達,不過這要怪收件人主機而不是貴司的主機,以下為常見的訊息
451 4.7.1 Temporarily rejected. Try again later.
451 Resources temporarily unavailable. Please try again later.
450 4.7.1 **** : Recipient address rejected: Policy Rejection- Please try later.
450 4.7.1 **** : Recipient address rejected: Try again, see ****
451 DT:SPM ****, ****, please try again
421 ****, SMTP service not ready
第五名:垃圾信寄太多了
我們實在不好實話實說,但您垃圾信可能真的寄太多了,收件者主機已經暫時或永久拒收你郵件了,以下為常見的訊息
421 4.7.0 [GL01] Message from (*.*.*.*) temporarily deferred
452 Too many recipients received this hour
421 #4.4.5 Too many connections to this host.
550 5.7.1 Our System Has Detected an Unusual Rate of Unsolicited Mail Originating From Your Ip Address. To Protect Our Users From Spam, Mail Sent From Your Ip Address Has Been Blocked. Please Visit Http://www.google.com/mail/help/bulk_mail.html To Review Our Bulk Email Senders Guidelines
第六名:郵件主機 IP 無法被反解
這是 DNS 技術上的問題,在台灣主要 ISP 皆有所謂預設反解,主要發生在學術網路或租用 IDC 機房的時候,必須要記得設定反解,以下為常見的訊息
421 Refused. You have no reverse DNS entry.
第七名:寄件者郵件地址打錯了
幫幫忙,連自己的郵件地址都打錯了,信當然寄不出去,請至郵件軟體中做修正,以下為常見的訊息
451 Domain of Sender Address Does Not Resolve
第八名:收件人伺服器硬碟已滿
這明顯不是你的錯誤,也不是你能管的,請告訴 User 打個電話去告知一下,以下為常見的訊息
452 Requested Action Not Taken: Insufficient System Storage
431 The Recipient's Mail Server Is Experiencing a Disk Full Condition
第九名:就是不讓你寄
在網路的世界這種歧視依然存在,就是不讓你寄,一句話都不讓說就擋在門外.通常這與你的 IP位置 與 IP 反解的名稱有關
552 Sorry, We Don't Allow Mail From Your Host
554 Your Ip (*.*.*.*) Is Dynamic Ip Address, Use Your Isp Smtp Server Instead
第十名:郵件內容被拒
很多主機目前不接受特定的附件檔,如 .EXE 或 .ZIP 這個時候就會有郵件被拒的狀況
554 5.7.1 The File Xxx Has Been Blocked. File Quarantined As:b100493a.xxx
本文作者: EVO郵件伺服器工作團隊
但員工老闆們就是看不懂(最怕還的不是看不懂,而是解釋不聽!).
下面,我們歸納出十種最常見的退信原因,提供 MIS 人員們參考,在與員工解釋時,更加順手
第一名:收件人信箱爆了
這對方信箱容量已經超過了,你能有什麼辦法,沒辦法的,以下為常見的訊息
452 Message for **** would exceed mailbox quota
450 **** : out of quota
第二名:收件人不存在
對方主機根本沒這個信箱,最常見的是打錯字了,請 User 檢查一下吧,以下為常見的訊息
451 Requested mail action not taken: mailbox unavailable
第三名:信件過大,收件人伺服器拒收
一定是 User 的郵件內添加了過大的附件檔造成,此時將造成收件方拒收此封郵件
421 The Size of the Message Exceeds the Recipient's Size Limits For Incoming Emails
450 5.2.3 Msg Size Greater Than Allowed By Remote Host
第四名:碰上對方灰名單防垃圾機制
此一種狀況必須要第二次重寄才會成功,郵件無法即時寄達,不過這要怪收件人主機而不是貴司的主機,以下為常見的訊息
451 4.7.1 Temporarily rejected. Try again later.
451 Resources temporarily unavailable. Please try again later.
450 4.7.1 **** : Recipient address rejected: Policy Rejection- Please try later.
450 4.7.1 **** : Recipient address rejected: Try again, see ****
451 DT:SPM ****, ****, please try again
421 ****, SMTP service not ready
第五名:垃圾信寄太多了
我們實在不好實話實說,但您垃圾信可能真的寄太多了,收件者主機已經暫時或永久拒收你郵件了,以下為常見的訊息
421 4.7.0 [GL01] Message from (*.*.*.*) temporarily deferred
452 Too many recipients received this hour
421 #4.4.5 Too many connections to this host.
550 5.7.1 Our System Has Detected an Unusual Rate of Unsolicited Mail Originating From Your Ip Address. To Protect Our Users From Spam, Mail Sent From Your Ip Address Has Been Blocked. Please Visit Http://www.google.com/mail/help/bulk_mail.html To Review Our Bulk Email Senders Guidelines
第六名:郵件主機 IP 無法被反解
這是 DNS 技術上的問題,在台灣主要 ISP 皆有所謂預設反解,主要發生在學術網路或租用 IDC 機房的時候,必須要記得設定反解,以下為常見的訊息
421 Refused. You have no reverse DNS entry.
第七名:寄件者郵件地址打錯了
幫幫忙,連自己的郵件地址都打錯了,信當然寄不出去,請至郵件軟體中做修正,以下為常見的訊息
451 Domain of Sender Address Does Not Resolve
第八名:收件人伺服器硬碟已滿
這明顯不是你的錯誤,也不是你能管的,請告訴 User 打個電話去告知一下,以下為常見的訊息
452 Requested Action Not Taken: Insufficient System Storage
431 The Recipient's Mail Server Is Experiencing a Disk Full Condition
第九名:就是不讓你寄
在網路的世界這種歧視依然存在,就是不讓你寄,一句話都不讓說就擋在門外.通常這與你的 IP位置 與 IP 反解的名稱有關
552 Sorry, We Don't Allow Mail From Your Host
554 Your Ip (*.*.*.*) Is Dynamic Ip Address, Use Your Isp Smtp Server Instead
第十名:郵件內容被拒
很多主機目前不接受特定的附件檔,如 .EXE 或 .ZIP 這個時候就會有郵件被拒的狀況
554 5.7.1 The File Xxx Has Been Blocked. File Quarantined As:b100493a.xxx
本文作者: EVO郵件伺服器工作團隊
2015年8月26日 星期三
批次檔----清除本機列印快取
net stop spooler
del %systemroot%\system32\spool\printers\*.shd
del %systemroot%\system32\spool\printers\*.spl
net start spooler
del %systemroot%\system32\spool\printers\*.shd
del %systemroot%\system32\spool\printers\*.spl
net start spooler
批次檔-大量修改密碼
CLS
@ECHO Off
COLOR 70
MODE CON COLS=65 LINES=40
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
ECHO ----------------------------------------------------------------
ECHO 正在自動設定密碼....
ECHO ----------------------------------------------------------------
for /F "tokens=1,2 delims=, " %%i in (D:\acc.csv) do (
set username=%%i&set password=%%j
echo 正在設定 !username! 帳號之密碼為 !password!...
start /wait net user !username! !password! /domain
echo 設定完畢...
echo.
)
pause
rem REG DELETE "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
rem REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
exit
@ECHO Off
COLOR 70
MODE CON COLS=65 LINES=40
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
ECHO ----------------------------------------------------------------
ECHO 正在自動設定密碼....
ECHO ----------------------------------------------------------------
for /F "tokens=1,2 delims=, " %%i in (D:\acc.csv) do (
set username=%%i&set password=%%j
echo 正在設定 !username! 帳號之密碼為 !password!...
start /wait net user !username! !password! /domain
echo 設定完畢...
echo.
)
pause
rem REG DELETE "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
rem REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
exit
2015年8月18日 星期二
改變網域命名 第二種方案
除了ADMT遷移新舊網域以外 改變網域名稱也是第二種方式 不過風險極大
參考文章
http://www.dotblogs.com.tw/swater111/archive/2013/07/10/109404.aspx
參考文章
http://www.dotblogs.com.tw/swater111/archive/2013/07/10/109404.aspx
ADMT "cannot open database 'ADMT' requested by the login"
ADMT移轉流程
1.舊網域 條件轉寄站設定將新網域查詢轉寄新網域
2.舊新網域建立樹系信任
3.在新網域AD安裝ADMT套件及SQL
但是ADMT出現找不到 "cannot open database 'ADMT' requested by the login"
因其必須在AD使用者及電腦建立連接SQL帳號
4.最後ADMT物件移轉 使用者或電腦等物件
參考文章
https://support.microsoft.com/zh-tw/kb/2266373
Workaround 1:
The standard practice is to install ADMT on a member computer in the target domain. Install SQL Express 2008 SP1 on a Windows 2008 R2 member server in the target domain and then install ADMT 3.2 on that same member server.
Workaround 2:
If you have a requirement to install ADMT 3.2 on a domain controller in order to use command-line or scripted user migrations with SID History, install SQL 2008 SP1 (non-Express edition) on a Windows Server 2008 R2 member server in the target domain and select that remote instance when installing ADMT 3.2 on the domain controller. Alternatively, you can install SQL Express 2005 SP3 on the domain controller.
Workaround 3:
If you have a requirement to install ADMT 3.2 and SQL Express 2008 SP1 on the same domain controller, use the following steps on the target domain's domain controller:
Install the Cumulative Update Package 4 for SQL Server 2008 on the domain controller.
963036 Cumulative update package 4 for SQL Server 2008.
Install SQL Express 2008 SP1 on the domain controller. Note the SQL instance name created during the install (default is SQLEXPRESS).
Microsoft® SQL Server® 2008 Express Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyID=01af61e6-2f63-4291-bcad-fd500f6027ff&displaylang=en
Create a domain local group with the format of "SQLServerMSSQLUserlt;DCComputerName>lt;InstanceName>". For example, if the domain controller is named "DC1" and the SQL instance was "SQLEXPRESS" you would run the following command in an elevated command prompt:
NET LOCALGROUP SQLServerMSSQLUser$DC1$SQLEXPRESS /ADD
Retrieve the SQL service SID using the SC.EXE command with the name of the SQL service instance. For example, if the SQL instance was "SQLEXPRESS" you would run the following command in an elevated command prompt and note the returned SERVICE SID value:
SC SHOWSID MSSQL$SQLEXPRESS
In the Windows directory, create the "ADMT" subfolder and a subfolder beneath that named "Data". For example, you would run the following command in an elevated command prompt:
MD %SystemRoot%\ADMT\Data
Using the SID retrieved in Step 4, set FULL CONTROL permissions on the %SystemRoot%\ADMT\Data folder. For example, if the SID returned in Step 4 was "S-1-5-80-3880006512-4290199581-3569869737-363123133" you would run the following command in an elevated command prompt:
ICACLS %systemroot%\ADMT\Data /grant *S-1-5-80-3880006512-4290199581-3569869737-363123133:F
Install ADMT 3.2 on the domain controller while selecting the local SQL Express 2008 instance.
1.舊網域 條件轉寄站設定將新網域查詢轉寄新網域
2.舊新網域建立樹系信任
3.在新網域AD安裝ADMT套件及SQL
但是ADMT出現找不到 "cannot open database 'ADMT' requested by the login"
因其必須在AD使用者及電腦建立連接SQL帳號
4.最後ADMT物件移轉 使用者或電腦等物件
參考文章
https://support.microsoft.com/zh-tw/kb/2266373
Workaround 1:
The standard practice is to install ADMT on a member computer in the target domain. Install SQL Express 2008 SP1 on a Windows 2008 R2 member server in the target domain and then install ADMT 3.2 on that same member server.
Workaround 2:
If you have a requirement to install ADMT 3.2 on a domain controller in order to use command-line or scripted user migrations with SID History, install SQL 2008 SP1 (non-Express edition) on a Windows Server 2008 R2 member server in the target domain and select that remote instance when installing ADMT 3.2 on the domain controller. Alternatively, you can install SQL Express 2005 SP3 on the domain controller.
Workaround 3:
If you have a requirement to install ADMT 3.2 and SQL Express 2008 SP1 on the same domain controller, use the following steps on the target domain's domain controller:
Install the Cumulative Update Package 4 for SQL Server 2008 on the domain controller.
963036 Cumulative update package 4 for SQL Server 2008.
Install SQL Express 2008 SP1 on the domain controller. Note the SQL instance name created during the install (default is SQLEXPRESS).
Microsoft® SQL Server® 2008 Express Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyID=01af61e6-2f63-4291-bcad-fd500f6027ff&displaylang=en
Create a domain local group with the format of "SQLServerMSSQLUserlt;DCComputerName>lt;InstanceName>". For example, if the domain controller is named "DC1" and the SQL instance was "SQLEXPRESS" you would run the following command in an elevated command prompt:
NET LOCALGROUP SQLServerMSSQLUser$DC1$SQLEXPRESS /ADD
Retrieve the SQL service SID using the SC.EXE command with the name of the SQL service instance. For example, if the SQL instance was "SQLEXPRESS" you would run the following command in an elevated command prompt and note the returned SERVICE SID value:
SC SHOWSID MSSQL$SQLEXPRESS
In the Windows directory, create the "ADMT" subfolder and a subfolder beneath that named "Data". For example, you would run the following command in an elevated command prompt:
MD %SystemRoot%\ADMT\Data
Using the SID retrieved in Step 4, set FULL CONTROL permissions on the %SystemRoot%\ADMT\Data folder. For example, if the SID returned in Step 4 was "S-1-5-80-3880006512-4290199581-3569869737-363123133" you would run the following command in an elevated command prompt:
ICACLS %systemroot%\ADMT\Data /grant *S-1-5-80-3880006512-4290199581-3569869737-363123133:F
Install ADMT 3.2 on the domain controller while selecting the local SQL Express 2008 instance.
2015年8月17日 星期一
[TroubleShooting] Resolve Event ID 1111 , 1114 Error
Windows 2008R2 log 出現錯誤訊息
遠端登入 mapping 本機印表機及其他資源 造成log警示
參考文章
Event ID 1111 — Terminal Services Printer Redirection
http://social.technet.microsoft.com/wiki/contents/articles/1451.event-id-1111-terminal-services-printer-redirection.aspx
遠端登入 mapping 本機印表機及其他資源 造成log警示
參考文章
Event ID 1111 — Terminal Services Printer Redirection
http://social.technet.microsoft.com/wiki/contents/articles/1451.event-id-1111-terminal-services-printer-redirection.aspx
KDC找不到適合的憑證供智慧卡登入
參考文章
If you are installing a new forest and have just promoted a member server to become the first domain controller in it (assumption that it’s a Windows 2008 or above forest), you might start seeing the following Warning message soon in your “System” log:
Event ID: 29, Source: Kerberos-Key-Distribution-Center, Level: Warning
The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.
Log into server using a domain admin account.
Run “Server Manager” and proceed to “Add Roles”.
In the list of “Roles”, select “Active Directory Certificate Services”.
Select the following options:
Certification Authority
Certification Authority Web Enrollment (click “Add Required Role Services” when prompted)
Select “Enterprise” and click “Next”.
Select “Root CA” and click “Next”.
Select “Create a new private key” and click “Next”.
Leave default cryptography settings (RSA#Microsoft Sotfware Key Storage Provider, 2048, SHA256) and click “Next”.
Enter the common name for the CA as say [NetBIOS Name of Domain]-CA and click “Next”.
Change the validity period to a long period say 15 years and click “Next”.
Leave the certificate database settings as default and click “Next”.
Click “Next” when the Web Server introduction screen appears.
Click “Next” again (the only addition will be ASP support).
Click “Install” and “Close” when the installation completes.
Fire up the “Certification Authority” MMC window.
Navigate to Certification Authority (Local) –> [NetBIOS Name of Domain]-CA.
Right click “[NetBIOS Name of Domain]-CA” and click “Properties”.
Select the “Auditing” tab and check all the following options:
Backup and restore the CA database
Change CA configuration
Change CA security settings
Issue and manage certificate requests
Revoke certificates and publish CRLs
Store and retrieve archived keys
Start and stop Certificate Services (click “OK” to the warning).
Click the “OK” button and close the “Certification Authority” window.
Open “Certificates” MMC (Run “mmc”, Add/Remove Snap-in, Add “Certificates”, Select “Computer Account”)
Browse to “Certificates (Local Computer) –> Personal –> Certificates”. Check if a certificate already exists for the DC now, issued by the newly-created CA. Please note: There should be another one for the CA itself.
If not, right-Click on “Certificates” –> All Tasks –> “Request New Certificate”
Click “Next” twice (acknowledging a screen that informs that a policy enables auto-enrollment)
In the “Request Certificate” screen, check the “Domain Controller” check box only.
Click on “Enroll”.
Close the MMC.
This happens because the Domain Controller doesn’t have a valid certificate. If you search the Internet for the problem, you find the following article:http://technet.microsoft.com/en-us/library/cc734096(WS.10).aspx
Please note that in typical Microsoft fashion, it “assumes” that you have a valid certificate authority present within your organisation and therefore, you can just ask for a new certificate. You may have one if you’re introducing new Windows 2008 (R2) DCs into a pre-existing organisation but are likely not to have one if it’s a brand-new forest! The article, for some reason, doesn’t cover that possibility.
Prior to Windows 2008, having a certificate authority within your forest wasn’t really important as you were OK as long as you didn’t use anything that required it. It seems that Windows 2008 (R2) is different and the DC starts complaining soon after if you don’t have a valid certificate authority that can issue the DC a certificate. This problem won’t prevent anything from working but will keep generating this annoying warning message until fixed and obviously you want to keep your event log clean.
The solution, as you can tell now, is simple and that is to install a new Certificate Authority. The process is not difficult and an outline process is as follows:
It’s also useful to do the following steps afterwards:
Be patient after that as the DCs will probably take some time i.e. a few hours to request a certificate. As that happens, all DCs in questions will stop generating the warning messages mentioned above. If the messages remain after a day or so, then maybe Auto-Enrollment is not enabled or isn’t working properly. If not enabled, follow the process documented here. Alternatively, you could try logging on to the DC itself and request a certificate manually, using the process mentioned in the Microsoft article.
Hope this helps!
http://atherbeg.com/2011/09/30/event-id-29-kdc-certificate-availability/
Windows 2008R2 新建功能 可以不用理他
Windows 2008R2 新建功能 可以不用理他
Event ID 29 – KDC Certificate Availability
Our organisation is going through a major restructuring phase these days and we’re converting from an “Empty Root with many Child Domains” to “Single Domain Forests” model. Why did we go with the former model is a long story and definitely beyond the scope of this particular post so I’ll leave it for another day. For today, I’ll start the story and say that I’ve been developing build, process and migration documentation for the transition lately and most of my time is being consumed by that. Along the way, I’ve seen a few problems and I will be publishing some of them here so that people can benefit from it. Today, is the turn of “Event ID 29 — KDC Certificate Availability”.If you are installing a new forest and have just promoted a member server to become the first domain controller in it (assumption that it’s a Windows 2008 or above forest), you might start seeing the following Warning message soon in your “System” log:
Event ID: 29, Source: Kerberos-Key-Distribution-Center, Level: Warning
The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.
Log into server using a domain admin account.
Run “Server Manager” and proceed to “Add Roles”.
In the list of “Roles”, select “Active Directory Certificate Services”.
Select the following options:
Certification Authority
Certification Authority Web Enrollment (click “Add Required Role Services” when prompted)
Select “Enterprise” and click “Next”.
Select “Root CA” and click “Next”.
Select “Create a new private key” and click “Next”.
Leave default cryptography settings (RSA#Microsoft Sotfware Key Storage Provider, 2048, SHA256) and click “Next”.
Enter the common name for the CA as say [NetBIOS Name of Domain]-CA and click “Next”.
Change the validity period to a long period say 15 years and click “Next”.
Leave the certificate database settings as default and click “Next”.
Click “Next” when the Web Server introduction screen appears.
Click “Next” again (the only addition will be ASP support).
Click “Install” and “Close” when the installation completes.
Fire up the “Certification Authority” MMC window.
Navigate to Certification Authority (Local) –> [NetBIOS Name of Domain]-CA.
Right click “[NetBIOS Name of Domain]-CA” and click “Properties”.
Select the “Auditing” tab and check all the following options:
Backup and restore the CA database
Change CA configuration
Change CA security settings
Issue and manage certificate requests
Revoke certificates and publish CRLs
Store and retrieve archived keys
Start and stop Certificate Services (click “OK” to the warning).
Click the “OK” button and close the “Certification Authority” window.
Open “Certificates” MMC (Run “mmc”, Add/Remove Snap-in, Add “Certificates”, Select “Computer Account”)
Browse to “Certificates (Local Computer) –> Personal –> Certificates”. Check if a certificate already exists for the DC now, issued by the newly-created CA. Please note: There should be another one for the CA itself.
If not, right-Click on “Certificates” –> All Tasks –> “Request New Certificate”
Click “Next” twice (acknowledging a screen that informs that a policy enables auto-enrollment)
In the “Request Certificate” screen, check the “Domain Controller” check box only.
Click on “Enroll”.
Close the MMC.
This happens because the Domain Controller doesn’t have a valid certificate. If you search the Internet for the problem, you find the following article:http://technet.microsoft.com/en-us/library/cc734096(WS.10).aspx
Please note that in typical Microsoft fashion, it “assumes” that you have a valid certificate authority present within your organisation and therefore, you can just ask for a new certificate. You may have one if you’re introducing new Windows 2008 (R2) DCs into a pre-existing organisation but are likely not to have one if it’s a brand-new forest! The article, for some reason, doesn’t cover that possibility.
Prior to Windows 2008, having a certificate authority within your forest wasn’t really important as you were OK as long as you didn’t use anything that required it. It seems that Windows 2008 (R2) is different and the DC starts complaining soon after if you don’t have a valid certificate authority that can issue the DC a certificate. This problem won’t prevent anything from working but will keep generating this annoying warning message until fixed and obviously you want to keep your event log clean.
The solution, as you can tell now, is simple and that is to install a new Certificate Authority. The process is not difficult and an outline process is as follows:
It’s also useful to do the following steps afterwards:
Be patient after that as the DCs will probably take some time i.e. a few hours to request a certificate. As that happens, all DCs in questions will stop generating the warning messages mentioned above. If the messages remain after a day or so, then maybe Auto-Enrollment is not enabled or isn’t working properly. If not enabled, follow the process documented here. Alternatively, you could try logging on to the DC itself and request a certificate manually, using the process mentioned in the Microsoft article.
Hope this helps!
2015年8月12日 星期三
PC與SERVER的異同
PC與SERVER的異同
文章出處
http://ithelp.ithome.com.tw/question/10062091
任務特性不同
PC (Desktop/NB) 是給個人用的, 出再多問題, 影響的也只是使用的「一個人」而已;
Server 是給一群人用的, 少則數十人, 多則成千上百, 甚至幾十萬人, 稍有閃失, 影響層面難以估計.
PC 追求個人使用上的聲光效果體驗, 與個性化的自主性
Server 追求高負載的能力和穩定性, 與管理上的便利性
在以下討論前, 我們要先謹記以上的區別, 因為有很多差異, 是基於以上的特性不同而設計出來的.
電源供應器
Server 經常都具備 Redundant Power Supply (雙電源)的規格, 這點幾乎沒有一台 PC 可以達到. 理由當然不用多說, 只要回顧上面所提到的任務特性即知.
我一個客戶的舊 Server 原本只買了一個 Power, 某天這個 Power 故障, 全公司的 ERP 停擺, 生產線完全無法下單生產, 公司從上到下急得不得了, 急 Call 我們要送一個新的過去. 但是再怎麼快, 我們也要協調代理商調貨, 從倉庫出貨, 到我們手上, 再送到位處偏遠地點的工廠所在地, 最快也要耗了半天....
停機半天, 對一般 PC 使用者來說, 根本無關痛癢, 頂多打混半天; 但公司 Server 停半天, 影響的可能是: 幾百萬幾千萬的訂單無法如期交貨, 客戶從此就轉單到別家去; 或是, 業務人員無法立即查詢回覆新客戶正確的交期, 結果本來可以拿到幾百萬的訂單, 只因為別家可以馬上答得出來交期, 我們還要再等半天才知道, 訂單就從業務手上溜走.....
所以, 對某些公司來說, Server 別說是停機半天, 光停機一小時就足夠嚇死人了.
後來我這個客戶又買了四台新的 Server, 這四台通通都配備了雙電源, 以免重蹈覆轍.....
存活能力
從上面電源供應器的例子, 我們可以了解 Server 必須比 PC 有更高的存活能力, 在某些零件故障時, 還能夠繼續運轉下去. 基於這樣的概念, 於是就發展出許多獨門的存活技術.
例如: IBM/HP 的 Server, 可以把記憶體規劃成類似 RAID-1 的 Mirror 架構, 當一排 DIMM 的 RAM 故障時, 系統會自動切換到 Mirror 的那組 DIMM, 繼續工作, 而不會因此停擺. 甚至除了 Mirror 之外, 還可以有第三組 Spare (備用) 的 DIMM, 萬一 Mirror 那組故障, Spare 還可以再接替上去. 這個技術, 在 IBM 稱為 ChipKill, 其他廠商則有他們自己的名稱.
除了記憶體之外, 對於多 CPU 的主機, Server 也可以在一顆 CPU 故障時, 把故障的 CPU 隔離開來, 讓其他的 CPU 繼續運作下去, 雖然效能降低, 但是至少不用停機, 先把重要的事情處理完, 等有空檔再停機下來更換.
網路部分, 現在的 Server 標配都是 2-Port Ethernet 以上, 目的也是為了備援, 不會因為網卡故障而停機, PC 就沒有這樣的需求. 而且 Server 等級的 Ethernet 網卡, 還具備比 PC 更高階的功能, 例如: TOE (TCP/IP Offload Engine) 或是 iSCSI Offload Engine, 利用網卡本身的晶片來計算網路傳輸所需的運算, 減輕由 CPU 計算封包內容的負擔; PC 的網卡幾乎沒有, 也不需要這樣的功能.
硬碟部分, 常見的 RAID 備援當然不能少. 但是 Server 等級的 RAID 也比 PC 要更高級, 跟網卡一樣, 它可以將許多原本需要 CPU 介入的 RAID 運算, 移到 RAID Contoller 上面以硬體晶片來處理, 減輕 CPU 的負擔. 大部分 PC 的 RAID 都是 fake-RAID, 還是需要大量的 CPU 軟體介入處理.
當然, PC 也可以另買高檔 RAID Controller 來插, 但這樣一來, 價格不是也跟 Server 一樣了? 而且這裡又會凸顯出另外一個差異: PCI 擴充槽的數量和速度....
Server 的記憶體, 通常具備 ECC 錯誤修正的能力. 早期的 PC (我是說:很早期...10 幾年前) 也有 ECC 的設計, 但是後來因為成本的競爭劇烈, 且大部分使用 PC 的人, 都不介意少許錯誤的發生 (畫面少幾個點, 少許的顏色跑掉, 聲音錯了幾個 Bits.....誰分得出來啊?), 所以, 後來的 PC 都把 ECC 給拿掉了.
但是 Server 可不能這麼隨便, 試想: 如果有一天, 業務下單了之後, 到了工廠要生產時, 數量欄位上的某個數字突然變了, 卻沒有人知道這件事, 結果生產出來的結果和當初下的單不一樣, 請問這個損失是誰要出來扛? 業務? 還是工廠?.....只是 RAM 裡面的一個資料錯了而已....
所以, ECC RAM 已經是 Server 的標準配備了, 現今沒有一台 Server 級的電腦, 敢不配 ECC RAM 就給客戶使用的. 但是 ECC 也有高低檔之分別, 初級的 ECC 功能, 只能分辨 1 個 bit 的錯誤, 如果同時發生的錯誤多過 1 個以上, 有可能會分辨不出來. 但是像 IBM/HP 等高階品牌的 Server, 都另有高階的 ECC 功能, 可以分辨 1 個 bit 以上的錯誤, 詳細規格及介紹, 各位可以參閱原廠的介紹型錄.
整體效能
PC 玩家常以「超頻」來取得更多的 CPU 效能, 但對於講求「穩定」的 Server 來說, 超頻的風險太大, 通常都以 Multi-way CPU 來解決. PC 鮮少有配備兩顆以上的 CPU 插座(Socket), 但是 Server 除了最低階的機型以外, 中階機型至少配備 2~4 個 CPU 插座, 高階機種則有 8 個以上的 CPU 可以使用.
企業剛買 Server 時, 可能為了經濟性, 只買一顆 CPU; 但日後隨著業務量的增加, 可以只家買 CPU 就能夠提高效能, 而不必為了補充效能的不足, 又另外買一台新的 Server. 這個在企業的財務管理和資產管理方面, 有其必要性.
除了透過 Multi-way SMP CPU 來增加效能之外, Server 所使用的 CPU, 其內的 Core/Cache 數量也比 PC 版本來得多. 這些增加的效能, 都是 PC 等級無法追上的. 除此之外, 還有許多 CPU 技術是 Server 獨有, PC 基於經濟性的考量是沒有的, 這方面的比較, 有請更專業的網友提供兩者的比較.
除了 CPU 的擴充性高以外, I/O 的效能也是需要考量的. PC 雖然也有高效的 PCI-e/PCI-X 擴充介面, 但是其數量可能太少 (只有 1~2 個), 或是等級較低 (PCI-e x1, x2, x4); 但是 Server 的擴充性就大許多 (4~6 個), 而且等級也較高 (PCI-e x4, x8, x16). 有些 PC 雖然具備高效 PCI 插槽, 但是卻被閹割成只能接受某些特定種類的卡 (例如: 繪圖卡), 並不是全面通用的, 所以經常有高階的 PCI 擴充卡(RAID, FC), 插到 PC 上面會出問題, 或是無法使用.
但是相反的, Server 在圖形處理方面, 就不需要具備太多的效能, 因為不可能讓全公司幾十人或幾百人, 都擠在 Server 前面看畫面輸出, 所有資料都是透過網路, 傳輸到 Client 端的 PC 之後再顯示. 所以, Server 的顯示介面, 通常就是標準的 VGA (XVGA) 通常就足夠了, 不需要甚麼 GPU, 2D/3D rendering...這些高階繪圖的功能.
另外一個不需要在 Server 上面出現的, 則是影音呈現的能力, 理由同上. 所以, Server 也不會有甚麼 HDMI, SPDIF, 7 聲道, MPEG 硬壓/解...這些 A/V 功能.
(奇怪, 不是說字數限制已經擴充到一萬字了嗎? 怎麼我的回應還是只能寫一千字?......)
RAID 部分要再補充一下, Server 用的 RAID Card 不是只有單純的 RAID 功能而已, 為了增加效能, 通常還會再加裝 RAID 專用的 Cache, 而且為了安全性, Cache 還可以加裝電池, 也具備電池定期自動充放電的管理功能.
此外, 為了避免單一 RAID Card 故障, 也可以用兩片 RAID Card 組成 HA 架構來備援, 當然, 此時硬碟也必須使用 Dual Port 的硬碟, 一般 PC 的硬碟是無法提供這種備援的.
管理能力
談到管理, 這點就是 PC 望塵莫及的地方了. 大部分的 PC 玩家, 如果沒有在企業環境中長期工作過, 不會覺得管理能力有甚麼了不起的地方.
但是企業的環境多變, 很多狀況下, IT 人員可能無法親自前往 Server 放置的地點操作, 近者也許相差幾層樓, 但偏偏你就是分不開身, 無法走過去; 遠則可能在另外一個城市, 或是另外一個國家, 就算你就空可以去, 所花費的時間和旅行成本, 是企業沉重的負擔.
因此第一個管理能力就因此而誕生: 就是能夠遠端管理 Server 的能力.
文章出處
http://ithelp.ithome.com.tw/question/10062091
任務特性不同
PC (Desktop/NB) 是給個人用的, 出再多問題, 影響的也只是使用的「一個人」而已;
Server 是給一群人用的, 少則數十人, 多則成千上百, 甚至幾十萬人, 稍有閃失, 影響層面難以估計.
PC 追求個人使用上的聲光效果體驗, 與個性化的自主性
Server 追求高負載的能力和穩定性, 與管理上的便利性
在以下討論前, 我們要先謹記以上的區別, 因為有很多差異, 是基於以上的特性不同而設計出來的.
電源供應器
Server 經常都具備 Redundant Power Supply (雙電源)的規格, 這點幾乎沒有一台 PC 可以達到. 理由當然不用多說, 只要回顧上面所提到的任務特性即知.
我一個客戶的舊 Server 原本只買了一個 Power, 某天這個 Power 故障, 全公司的 ERP 停擺, 生產線完全無法下單生產, 公司從上到下急得不得了, 急 Call 我們要送一個新的過去. 但是再怎麼快, 我們也要協調代理商調貨, 從倉庫出貨, 到我們手上, 再送到位處偏遠地點的工廠所在地, 最快也要耗了半天....
停機半天, 對一般 PC 使用者來說, 根本無關痛癢, 頂多打混半天; 但公司 Server 停半天, 影響的可能是: 幾百萬幾千萬的訂單無法如期交貨, 客戶從此就轉單到別家去; 或是, 業務人員無法立即查詢回覆新客戶正確的交期, 結果本來可以拿到幾百萬的訂單, 只因為別家可以馬上答得出來交期, 我們還要再等半天才知道, 訂單就從業務手上溜走.....
所以, 對某些公司來說, Server 別說是停機半天, 光停機一小時就足夠嚇死人了.
後來我這個客戶又買了四台新的 Server, 這四台通通都配備了雙電源, 以免重蹈覆轍.....
存活能力
從上面電源供應器的例子, 我們可以了解 Server 必須比 PC 有更高的存活能力, 在某些零件故障時, 還能夠繼續運轉下去. 基於這樣的概念, 於是就發展出許多獨門的存活技術.
例如: IBM/HP 的 Server, 可以把記憶體規劃成類似 RAID-1 的 Mirror 架構, 當一排 DIMM 的 RAM 故障時, 系統會自動切換到 Mirror 的那組 DIMM, 繼續工作, 而不會因此停擺. 甚至除了 Mirror 之外, 還可以有第三組 Spare (備用) 的 DIMM, 萬一 Mirror 那組故障, Spare 還可以再接替上去. 這個技術, 在 IBM 稱為 ChipKill, 其他廠商則有他們自己的名稱.
除了記憶體之外, 對於多 CPU 的主機, Server 也可以在一顆 CPU 故障時, 把故障的 CPU 隔離開來, 讓其他的 CPU 繼續運作下去, 雖然效能降低, 但是至少不用停機, 先把重要的事情處理完, 等有空檔再停機下來更換.
網路部分, 現在的 Server 標配都是 2-Port Ethernet 以上, 目的也是為了備援, 不會因為網卡故障而停機, PC 就沒有這樣的需求. 而且 Server 等級的 Ethernet 網卡, 還具備比 PC 更高階的功能, 例如: TOE (TCP/IP Offload Engine) 或是 iSCSI Offload Engine, 利用網卡本身的晶片來計算網路傳輸所需的運算, 減輕由 CPU 計算封包內容的負擔; PC 的網卡幾乎沒有, 也不需要這樣的功能.
硬碟部分, 常見的 RAID 備援當然不能少. 但是 Server 等級的 RAID 也比 PC 要更高級, 跟網卡一樣, 它可以將許多原本需要 CPU 介入的 RAID 運算, 移到 RAID Contoller 上面以硬體晶片來處理, 減輕 CPU 的負擔. 大部分 PC 的 RAID 都是 fake-RAID, 還是需要大量的 CPU 軟體介入處理.
當然, PC 也可以另買高檔 RAID Controller 來插, 但這樣一來, 價格不是也跟 Server 一樣了? 而且這裡又會凸顯出另外一個差異: PCI 擴充槽的數量和速度....
Server 的記憶體, 通常具備 ECC 錯誤修正的能力. 早期的 PC (我是說:很早期...10 幾年前) 也有 ECC 的設計, 但是後來因為成本的競爭劇烈, 且大部分使用 PC 的人, 都不介意少許錯誤的發生 (畫面少幾個點, 少許的顏色跑掉, 聲音錯了幾個 Bits.....誰分得出來啊?), 所以, 後來的 PC 都把 ECC 給拿掉了.
但是 Server 可不能這麼隨便, 試想: 如果有一天, 業務下單了之後, 到了工廠要生產時, 數量欄位上的某個數字突然變了, 卻沒有人知道這件事, 結果生產出來的結果和當初下的單不一樣, 請問這個損失是誰要出來扛? 業務? 還是工廠?.....只是 RAM 裡面的一個資料錯了而已....
所以, ECC RAM 已經是 Server 的標準配備了, 現今沒有一台 Server 級的電腦, 敢不配 ECC RAM 就給客戶使用的. 但是 ECC 也有高低檔之分別, 初級的 ECC 功能, 只能分辨 1 個 bit 的錯誤, 如果同時發生的錯誤多過 1 個以上, 有可能會分辨不出來. 但是像 IBM/HP 等高階品牌的 Server, 都另有高階的 ECC 功能, 可以分辨 1 個 bit 以上的錯誤, 詳細規格及介紹, 各位可以參閱原廠的介紹型錄.
整體效能
PC 玩家常以「超頻」來取得更多的 CPU 效能, 但對於講求「穩定」的 Server 來說, 超頻的風險太大, 通常都以 Multi-way CPU 來解決. PC 鮮少有配備兩顆以上的 CPU 插座(Socket), 但是 Server 除了最低階的機型以外, 中階機型至少配備 2~4 個 CPU 插座, 高階機種則有 8 個以上的 CPU 可以使用.
企業剛買 Server 時, 可能為了經濟性, 只買一顆 CPU; 但日後隨著業務量的增加, 可以只家買 CPU 就能夠提高效能, 而不必為了補充效能的不足, 又另外買一台新的 Server. 這個在企業的財務管理和資產管理方面, 有其必要性.
除了透過 Multi-way SMP CPU 來增加效能之外, Server 所使用的 CPU, 其內的 Core/Cache 數量也比 PC 版本來得多. 這些增加的效能, 都是 PC 等級無法追上的. 除此之外, 還有許多 CPU 技術是 Server 獨有, PC 基於經濟性的考量是沒有的, 這方面的比較, 有請更專業的網友提供兩者的比較.
除了 CPU 的擴充性高以外, I/O 的效能也是需要考量的. PC 雖然也有高效的 PCI-e/PCI-X 擴充介面, 但是其數量可能太少 (只有 1~2 個), 或是等級較低 (PCI-e x1, x2, x4); 但是 Server 的擴充性就大許多 (4~6 個), 而且等級也較高 (PCI-e x4, x8, x16). 有些 PC 雖然具備高效 PCI 插槽, 但是卻被閹割成只能接受某些特定種類的卡 (例如: 繪圖卡), 並不是全面通用的, 所以經常有高階的 PCI 擴充卡(RAID, FC), 插到 PC 上面會出問題, 或是無法使用.
但是相反的, Server 在圖形處理方面, 就不需要具備太多的效能, 因為不可能讓全公司幾十人或幾百人, 都擠在 Server 前面看畫面輸出, 所有資料都是透過網路, 傳輸到 Client 端的 PC 之後再顯示. 所以, Server 的顯示介面, 通常就是標準的 VGA (XVGA) 通常就足夠了, 不需要甚麼 GPU, 2D/3D rendering...這些高階繪圖的功能.
另外一個不需要在 Server 上面出現的, 則是影音呈現的能力, 理由同上. 所以, Server 也不會有甚麼 HDMI, SPDIF, 7 聲道, MPEG 硬壓/解...這些 A/V 功能.
(奇怪, 不是說字數限制已經擴充到一萬字了嗎? 怎麼我的回應還是只能寫一千字?......)
RAID 部分要再補充一下, Server 用的 RAID Card 不是只有單純的 RAID 功能而已, 為了增加效能, 通常還會再加裝 RAID 專用的 Cache, 而且為了安全性, Cache 還可以加裝電池, 也具備電池定期自動充放電的管理功能.
此外, 為了避免單一 RAID Card 故障, 也可以用兩片 RAID Card 組成 HA 架構來備援, 當然, 此時硬碟也必須使用 Dual Port 的硬碟, 一般 PC 的硬碟是無法提供這種備援的.
管理能力
談到管理, 這點就是 PC 望塵莫及的地方了. 大部分的 PC 玩家, 如果沒有在企業環境中長期工作過, 不會覺得管理能力有甚麼了不起的地方.
但是企業的環境多變, 很多狀況下, IT 人員可能無法親自前往 Server 放置的地點操作, 近者也許相差幾層樓, 但偏偏你就是分不開身, 無法走過去; 遠則可能在另外一個城市, 或是另外一個國家, 就算你就空可以去, 所花費的時間和旅行成本, 是企業沉重的負擔.
因此第一個管理能力就因此而誕生: 就是能夠遠端管理 Server 的能力.
IBM/HP/Dell 的 Server, 都可以加買一個 Ethernet 的遠端管理介面, 這個介面類似 IP-KVM 的功能, 基本上, 就是把 Server 的畫面, 透過 Ethernet 網路傳出來, 管理人員在遠端, 只需要使用瀏覽器, 就可以操縱遠端 Server 上的一舉一動.
如果只是這樣的話, 那麼市售的 IP-KVM 就可以解決了, 何必要買原廠的呢?.....(才不呢..)
原廠提供的這個介面通常是用 IPMI 的標準來製作, 它除了可以看到開機之後的畫面以外, 也可以看到開機時的 BIOS 顯示畫面, 以便了解是否有甚麼錯誤....更重要的: 他甚至可以操控 Server 的電源開關!! 你只要在瀏覽器上按鍵, 就可以將 Server 關機; 或是將他開機 (即使 Server 是在關機的狀態, 也可以被從遠端遙控開起來)
此外, 這個遠端管理功能, 還可以將操控端的 CDROM 掛上來, 把她掛載成遠端 Server 可以使用的 CDROM, 因此你不必跑到遠端 Server 去放光碟片, 只要把光碟放在自己的 CDROM 上, 就可以讓遠端 Server, 從這張光碟開機, 安裝作業系統.
第二種管理能力, 就是 Server 能夠做自我診斷, 目前也沒有一台 PC 能做到.
現代的 Server 面板上, 都有一個診斷面板, 上面可以直接顯示故障的硬體種類, 例如: 下面這張圖是 IBM 的 Light-path 面板, 平常是收藏在 Server 裡面, 發生硬體故障時, 把他拉出來看上面的燈號, 就可以知道故障的組件, 回報給原廠客服之後, 馬上會派人來更換:
我有一個客戶, 新買了一台 IBM Server, 用了兩個月, 突然發生系統無故卡死, 必須重開機才能解決. 剛開始以為是作業系統安裝的問題, 但是前面用了兩個月都沒事, 卻在一周內卡死三次; 後來 IT 人員到機房去重開機時, 看到上面那個面板, 亮出橘色的燈號, 標示著: CPU......
客戶打電話給我, 請示該如何排除故障? 我一聽是 CPU 亮燈, 二話不說, 叫客戶馬上 Call IBM. IBM 經過初步的問診之後, 立刻排時間派工程師, 帶一顆 CPU 來更換. 更換之後, 一切恢復正常.
試想, 這個事件, 如果發生在 PC, 你要查多久, 才會懷疑是 CPU 故障?....新買的喔....
有了這個診斷介面, 我連想都不用想, 可以立刻判斷是否需要原廠的維修服務, 省下寶貴的時間.
更有甚者, 某些 Server 打開機殼之後, 在主機板上四處都藏有紅色的 LED, 在故障零件旁邊就會亮起紅燈. 例如: 面板顯示 MEM 故障, 但是記憶體那麼多條, 我哪知是哪一條故障? 此時, 故障的 RAM 旁邊, 會自動亮起紅色的 LED, 打開機殼一看便知, 該換哪一條....
如果是一般 PC, 你豈不是要一條一條換起來試? 如果故障問題是要跑兩三天才會發生一次, 一台插滿 18 條 RAM 的 Server, 你要花幾天去試, 才能抓到故障的組件?
維護保固
Server 還有個很重要的附加價值, 就是原廠的維護服務 (雖然還是要用錢買, 但仍很重要...)
PC 玩家常常對原廠的維護服務嗤之以鼻, 自栩功力高強, 有甚麼硬體維修搞不定的呢? 對呀, 自己修電腦, 東換換西換換, 搞不出來, 還可以去逛逛光華商場, 看看有甚麼新鮮貨可以拿來試試看; 或是掛網上論壇, 與眾網友們切磋討論一番, 打屁哈啦, 最後終於找出病因, 換對了東西, 看著他順利的運轉起來, 心中有多麼大的滿足, 多麼有成就感的一件事情啊!!....
但是, 企業老闆願意讓你花多少時間這樣試? 這樣玩?....通常主機一停擺, 5 分鐘之內就會有員工跳腳, 10 分鐘之內, 你桌上會有接不完的電話鈴聲響起, 這時你是要接電話道歉, 還是不管電話, 繼續修電腦?
30 分鐘之後, 主管開始來關心:「...會不會很難修啊?」; (難修? 當然不會啦, 這一點小問題怎麼難得到我這個高手玩家? 只是要給我一些時間找看看問題....),
2 小時過去了, 你正在滿頭大汗地應付一堆拆散的零件, 這時, 突然業務部主管氣沖沖的衝進來, 用力往桌上一拍:「你到底還要修多久啊!!....國外客戶等我們報價已經等得不耐煩了, 你這個 ERP 不開起來, 我們要怎麼算成本和交期, 給國外客戶報價啊!!」....(你只能臉上三條線)
4 小時過去了, 公司緊急召開一級主管會議, 業務部門在裡面咆哮, 威脅要把你給開除掉....
不管你自己有多麼厲害, 多麼會修電腦, 在企業營運裡面, 千萬不要把這個責任攬到自己身上, 因為修得好只是剛好, 修不好就都是你的錯. 如果你買了原廠保固維護服務, 只要輕鬆地打一通電話給原廠客服, 剩下的就聽他們指令來動作, 如果需要派工到場維修, 你也可以名正言順的告訴公司其他部門:「我們已經報修了喔, 現在只要等工程師來, 在這之前, 都不關我的事.....」
如果公司還抱怨維修太慢, 你還可以反將一軍: 誰叫公司當初不肯花錢買「7x24 四小時到場」服務? 為了省錢只用最低階的 5x8 NBD (隔日到場), 結果你看吧, 現在害到的是你們自己, 要明天才能修好....趁此機會爭取更多的維護預算.
如果只是這樣的話, 那麼市售的 IP-KVM 就可以解決了, 何必要買原廠的呢?.....(才不呢..)
原廠提供的這個介面通常是用 IPMI 的標準來製作, 它除了可以看到開機之後的畫面以外, 也可以看到開機時的 BIOS 顯示畫面, 以便了解是否有甚麼錯誤....更重要的: 他甚至可以操控 Server 的電源開關!! 你只要在瀏覽器上按鍵, 就可以將 Server 關機; 或是將他開機 (即使 Server 是在關機的狀態, 也可以被從遠端遙控開起來)
此外, 這個遠端管理功能, 還可以將操控端的 CDROM 掛上來, 把她掛載成遠端 Server 可以使用的 CDROM, 因此你不必跑到遠端 Server 去放光碟片, 只要把光碟放在自己的 CDROM 上, 就可以讓遠端 Server, 從這張光碟開機, 安裝作業系統.
第二種管理能力, 就是 Server 能夠做自我診斷, 目前也沒有一台 PC 能做到.
現代的 Server 面板上, 都有一個診斷面板, 上面可以直接顯示故障的硬體種類, 例如: 下面這張圖是 IBM 的 Light-path 面板, 平常是收藏在 Server 裡面, 發生硬體故障時, 把他拉出來看上面的燈號, 就可以知道故障的組件, 回報給原廠客服之後, 馬上會派人來更換:
我有一個客戶, 新買了一台 IBM Server, 用了兩個月, 突然發生系統無故卡死, 必須重開機才能解決. 剛開始以為是作業系統安裝的問題, 但是前面用了兩個月都沒事, 卻在一周內卡死三次; 後來 IT 人員到機房去重開機時, 看到上面那個面板, 亮出橘色的燈號, 標示著: CPU......
客戶打電話給我, 請示該如何排除故障? 我一聽是 CPU 亮燈, 二話不說, 叫客戶馬上 Call IBM. IBM 經過初步的問診之後, 立刻排時間派工程師, 帶一顆 CPU 來更換. 更換之後, 一切恢復正常.
試想, 這個事件, 如果發生在 PC, 你要查多久, 才會懷疑是 CPU 故障?....新買的喔....
有了這個診斷介面, 我連想都不用想, 可以立刻判斷是否需要原廠的維修服務, 省下寶貴的時間.
更有甚者, 某些 Server 打開機殼之後, 在主機板上四處都藏有紅色的 LED, 在故障零件旁邊就會亮起紅燈. 例如: 面板顯示 MEM 故障, 但是記憶體那麼多條, 我哪知是哪一條故障? 此時, 故障的 RAM 旁邊, 會自動亮起紅色的 LED, 打開機殼一看便知, 該換哪一條....
如果是一般 PC, 你豈不是要一條一條換起來試? 如果故障問題是要跑兩三天才會發生一次, 一台插滿 18 條 RAM 的 Server, 你要花幾天去試, 才能抓到故障的組件?
維護保固
Server 還有個很重要的附加價值, 就是原廠的維護服務 (雖然還是要用錢買, 但仍很重要...)
PC 玩家常常對原廠的維護服務嗤之以鼻, 自栩功力高強, 有甚麼硬體維修搞不定的呢? 對呀, 自己修電腦, 東換換西換換, 搞不出來, 還可以去逛逛光華商場, 看看有甚麼新鮮貨可以拿來試試看; 或是掛網上論壇, 與眾網友們切磋討論一番, 打屁哈啦, 最後終於找出病因, 換對了東西, 看著他順利的運轉起來, 心中有多麼大的滿足, 多麼有成就感的一件事情啊!!....
但是, 企業老闆願意讓你花多少時間這樣試? 這樣玩?....通常主機一停擺, 5 分鐘之內就會有員工跳腳, 10 分鐘之內, 你桌上會有接不完的電話鈴聲響起, 這時你是要接電話道歉, 還是不管電話, 繼續修電腦?
30 分鐘之後, 主管開始來關心:「...會不會很難修啊?」; (難修? 當然不會啦, 這一點小問題怎麼難得到我這個高手玩家? 只是要給我一些時間找看看問題....),
2 小時過去了, 你正在滿頭大汗地應付一堆拆散的零件, 這時, 突然業務部主管氣沖沖的衝進來, 用力往桌上一拍:「你到底還要修多久啊!!....國外客戶等我們報價已經等得不耐煩了, 你這個 ERP 不開起來, 我們要怎麼算成本和交期, 給國外客戶報價啊!!」....(你只能臉上三條線)
4 小時過去了, 公司緊急召開一級主管會議, 業務部門在裡面咆哮, 威脅要把你給開除掉....
不管你自己有多麼厲害, 多麼會修電腦, 在企業營運裡面, 千萬不要把這個責任攬到自己身上, 因為修得好只是剛好, 修不好就都是你的錯. 如果你買了原廠保固維護服務, 只要輕鬆地打一通電話給原廠客服, 剩下的就聽他們指令來動作, 如果需要派工到場維修, 你也可以名正言順的告訴公司其他部門:「我們已經報修了喔, 現在只要等工程師來, 在這之前, 都不關我的事.....」
如果公司還抱怨維修太慢, 你還可以反將一軍: 誰叫公司當初不肯花錢買「7x24 四小時到場」服務? 為了省錢只用最低階的 5x8 NBD (隔日到場), 結果你看吧, 現在害到的是你們自己, 要明天才能修好....趁此機會爭取更多的維護預算.
執行 gpedit.msc 顯示剖析時發生錯誤
引用文章
https://social.technet.microsoft.com/Forums/zh-TW/0517de18-ee54-425a-85e6-1f6a2324cb4d/-gpeditmsc-?forum=windows7cht
https://social.technet.microsoft.com/Forums/zh-TW/0517de18-ee54-425a-85e6-1f6a2324cb4d/-gpeditmsc-?forum=windows7cht
OfficeScan 10.6 用戶端與Windows 8.1和Windows 2012 R2版本相容性解決方案
OfficeScan 10.6 用戶端與Windows 8.1和Windows 2012 R2版本相容性解決方案
參考文章 http://esupport.trendmicro.com/solution/zh-TW/1101917.aspx
不過如果沒有安裝程式 似乎也可以在windows 2012安裝Officescan
參考文章 http://esupport.trendmicro.com/solution/zh-TW/1101917.aspx
不過如果沒有安裝程式 似乎也可以在windows 2012安裝Officescan
SQL2012 錯誤訊息 Fix Event ID 10016 DistributedCOM error
新安裝 SQL2012 event 出現錯誤訊息
Fix Event ID 10016 DistributedCOM error
參考文章如下
http://toastergremlin.com/?p=488
但是還是會出現錯誤訊息 待解決
Fix Event ID 10016 DistributedCOM error
參考文章如下
http://toastergremlin.com/?p=488
但是還是會出現錯誤訊息 待解決
AD 使用工具 Pstools
psping檢測網路工具
remote register 服務必須開啟
http://www.dotblogs.com.tw/swater111/archive/2012/11/20/84727.aspx?fid=77645#feedback
http://www.dotblogs.com.tw/swater111/archive/2012/11/20/84727.aspx?fid=77645#feedback
遠端登入過慢
遠端登入過慢
參考文章
http://www.itnotes.eu/?p=1193
http://www.brianmadden.com/blogs/terminal_services_for_microsoft_windows_server_2003_advanced_technical_design_guide/pages/troubleshooting-slow-logons.aspx
https://social.technet.microsoft.com/Forums/windowsserver/en-US/0dd2c0db-4eab-4e66-801d-76aeca59367a/remote-desktop-services-has-taken-too-long-to-load-the-user-configuration-from-server-event-id-20499?forum=winserverTS
windows 2012 還是有問題 待解決
參考文章
http://www.itnotes.eu/?p=1193
http://www.brianmadden.com/blogs/terminal_services_for_microsoft_windows_server_2003_advanced_technical_design_guide/pages/troubleshooting-slow-logons.aspx
https://social.technet.microsoft.com/Forums/windowsserver/en-US/0dd2c0db-4eab-4e66-801d-76aeca59367a/remote-desktop-services-has-taken-too-long-to-load-the-user-configuration-from-server-event-id-20499?forum=winserverTS
windows 2012 還是有問題 待解決
Update WSUS 3.2.7600.251 to latest version
WSUS for windows 2008R2 無法辨識window 2012 出現系統名稱出現windows 6.3
參考文章入下
https://social.technet.microsoft.com/Forums/windowsserver/en-US/f1cfccc0-65ac-418b-8a7a-af05bf2976ef/update-wsus-327600251-to-latest-version?forum=winserverwsus
將wsus升級到最新版本] 但是還是不能辨識 windows 2012
參考文章入下
https://social.technet.microsoft.com/Forums/windowsserver/en-US/f1cfccc0-65ac-418b-8a7a-af05bf2976ef/update-wsus-327600251-to-latest-version?forum=winserverwsus
將wsus升級到最新版本] 但是還是不能辨識 windows 2012
AD Event ID 36 — Supported Plug and Play Device Redirection
AD Event ID 36 — Supported Plug and Play Device Redirection
遠端登入都會出現 印表機錯誤相關訊息 因為遠端會將本機服務移轉至遠端
在遠端桌面設定 取消打勾 本機裝置與資源 就不會有這樣情況
參考文章
https://technet.microsoft.com/zh-tw/library/cc775202%28v=ws.10%29.aspx
Windows 2008R2 log 出現錯誤訊息
遠端登入 mapping 本機印表機及其他資源 造成log警示
參考文章
Event ID 1111 — Terminal Services Printer Redirection
http://social.technet.microsoft.com/wiki/contents/articles/1451.event-id-1111-terminal-services-printer-redirection.aspx
遠端登入都會出現 印表機錯誤相關訊息 因為遠端會將本機服務移轉至遠端
在遠端桌面設定 取消打勾 本機裝置與資源 就不會有這樣情況
參考文章
https://technet.microsoft.com/zh-tw/library/cc775202%28v=ws.10%29.aspx
Windows 2008R2 log 出現錯誤訊息
遠端登入 mapping 本機印表機及其他資源 造成log警示
參考文章
Event ID 1111 — Terminal Services Printer Redirection
http://social.technet.microsoft.com/wiki/contents/articles/1451.event-id-1111-terminal-services-printer-redirection.aspx
DNS Client 查詢過程 大解析
DNS Client 查詢過程 大解析
用戶端如何輪尋DNS Server 尤其是多張網卡下 每張網卡有不同DNS Server
參考文章入下
http://blogs.technet.com/b/stdqry/archive/2011/12/02/dns-clients-and-timeouts-part-1.aspx
http://blogs.technet.com/b/stdqry/archive/2011/12/15/dns-clients-and-timeouts-part-2.aspx
用戶端如何輪尋DNS Server 尤其是多張網卡下 每張網卡有不同DNS Server
參考文章入下
http://blogs.technet.com/b/stdqry/archive/2011/12/02/dns-clients-and-timeouts-part-1.aspx
http://blogs.technet.com/b/stdqry/archive/2011/12/15/dns-clients-and-timeouts-part-2.aspx
AD 物件sid guid相關文章
AD sid guid相關文章
http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx
AD 警示訊息 Web Service Error 1202
AD 警示訊息 Web Service Error 1202
Source: ADWS
Error: 1202
This computer is now hosting the specified directory instance, but Active Directory Web Services could not service it. Active Directory Web Services will retry this operation periodically.
Directory instance: GC
Directory instance LDAP port: 3268
Directory instance SSL port: 3269
會造成這個錯誤訊息 是因為兩台AD都設定GC所造成 經technet查詢
https://social.technet.microsoft.com/Forums/windowsserver/en-US/62a3f70f-d326-4d52-aee8-42b59a0298b9/ad-web-service-error-1202
修正過後就沒有這樣訊息
2015年8月11日 星期二
AD所使用之通訊埠 防火牆設定必用
AD所使用之通訊埠 防火牆設定必用 尤其是不同網段防火牆設定 參考文章 technet
Active Directory Replication over Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
How to configure a firewall for domains and trusts
http://support.microsoft.com/default.aspx?scid=kb;EN-US;179442
Network Ports Used by Key Microsoft Server Products
http://technet.microsoft.com/zh-tw/library/cc875824(en-us).aspx
Active Directory Replication over Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx
How to configure a firewall for domains and trusts
http://support.microsoft.com/default.aspx?scid=kb;EN-US;179442
Network Ports Used by Key Microsoft Server Products
http://technet.microsoft.com/zh-tw/library/cc875824(en-us).aspx
2015年8月10日 星期一
AD事件檢視器 警示訊息Event ID 2887
AD事件檢視器一直出現ID2887警告訊息 警告訊息如下
記錄檔名稱: Directory Service
來源: Microsoft-Windows-ActiveDirectory_DomainService
日期: 2015/8/10 上午 10:14:55
事件識別碼: 2887
工作類別: LDAP
介面等級:
警告關鍵字:
傳統使用者: ANONYMOUS LOGON
描述:在前 24 小時期間,有些用戶端嘗試執行 LDAP 繫結: (1) 未要求簽署 (完整性確認) 的 SASL (交涉、Kerberos、NTLM 或摘要) LDAP 繫結; 或 (2) 在純文字 (非 SSL/TLS 加密) 連線執行的 LDAP 簡單繫結 此目錄伺服器目前並未設定拒絕這種繫結。藉由設定伺服器拒絕這種繫結,可大幅強化目錄伺服器的安全性。如需有關如何變更伺服器組態的詳細資料和資訊, 請參閱 http://go.microsoft.com/fwlink/?LinkID=87923。 過去 24 小時收到這些繫結個數的摘要資訊如下。 您可以啟用其他記錄來記錄每次用戶端進行這種繫結的事件。若要如此,請將「LDAP 介面事件」事件記錄類別的設定提升至層級 2 或更高。 未使用 SSL/TLS 的情況下所執行的簡單繫結個數:24 在未使用簽署的情況下所執行的交涉/Kerberos/NTLM/摘要繫結個數:0
參考文章如下
https://technet.microsoft.com/en-us/library/dd941856(WS.10).aspx
https://support.microsoft.com/zh-tw/kb/935834
來源: Microsoft-Windows-ActiveDirectory_DomainService
日期: 2015/8/10 上午 10:14:55
事件識別碼: 2887
工作類別: LDAP
介面等級:
警告關鍵字:
傳統使用者: ANONYMOUS LOGON
描述:在前 24 小時期間,有些用戶端嘗試執行 LDAP 繫結: (1) 未要求簽署 (完整性確認) 的 SASL (交涉、Kerberos、NTLM 或摘要) LDAP 繫結; 或 (2) 在純文字 (非 SSL/TLS 加密) 連線執行的 LDAP 簡單繫結 此目錄伺服器目前並未設定拒絕這種繫結。藉由設定伺服器拒絕這種繫結,可大幅強化目錄伺服器的安全性。如需有關如何變更伺服器組態的詳細資料和資訊, 請參閱 http://go.microsoft.com/fwlink/?LinkID=87923。 過去 24 小時收到這些繫結個數的摘要資訊如下。 您可以啟用其他記錄來記錄每次用戶端進行這種繫結的事件。若要如此,請將「LDAP 介面事件」事件記錄類別的設定提升至層級 2 或更高。 未使用 SSL/TLS 的情況下所執行的簡單繫結個數:24 在未使用簽署的情況下所執行的交涉/Kerberos/NTLM/摘要繫結個數:0
參考文章如下
https://technet.microsoft.com/en-us/library/dd941856(WS.10).aspx
https://support.microsoft.com/zh-tw/kb/935834
經technet 查詢 這是Windows 2008R2 新增功能 警示LDAP未加密
可以改用LDAPs加密以增加安全性 或者不理他
可以改用LDAPs加密以增加安全性 或者不理他
2015年8月5日 星期三
AD 新舊網域移轉 物件相關問題
ADMT 裡面有幾個精靈:
「使用者移轉精靈」、「電腦移轉精靈」、「群組移轉精靈」、「服務帳戶移轉精靈」、「信任移轉精靈」以及「資料表格精靈」
ADMT 遷移的過程中, 樹系內(Inside Forest)和樹系間(Intra-Forest)的結果會不太相同:
物件保護:
樹系間: 複製, 原物件仍存在
樹系內: 遷移, 原物件會消失
SID記錄維護:
樹系間: 可選擇
樹系內: 必須維持一致姓
密碼保留:
樹系間: 可選擇
樹系內: 一律保留原
密碼本機設定檔遷移:
樹系間: 需使用工具精靈, 手動遷移
樹系內: 一律自動遷移
其他重要的相關訊息, 以及最佳施行範例,
請自行下載文件http://www.microsoft.com/downloads/details.aspx?familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=zh-tw
「使用者移轉精靈」、「電腦移轉精靈」、「群組移轉精靈」、「服務帳戶移轉精靈」、「信任移轉精靈」以及「資料表格精靈」
ADMT 遷移的過程中, 樹系內(Inside Forest)和樹系間(Intra-Forest)的結果會不太相同:
物件保護:
樹系間: 複製, 原物件仍存在
樹系內: 遷移, 原物件會消失
SID記錄維護:
樹系間: 可選擇
樹系內: 必須維持一致姓
密碼保留:
樹系間: 可選擇
樹系內: 一律保留原
密碼本機設定檔遷移:
樹系間: 需使用工具精靈, 手動遷移
樹系內: 一律自動遷移
其他重要的相關訊息, 以及最佳施行範例,
請自行下載文件http://www.microsoft.com/downloads/details.aspx?familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=zh-tw
2015年7月14日 星期二
目的:用戶端於無法連上網域控制器還能夠進行登入的動作
狀況:當有用戶用 NB 加入網域,並且外出時,還能夠登入不會顯示網域無法使用。
修改方式有兩個方法:
1、regedit 中的 [HKLM]→[Software]→[Microsoft]→[Windows NT]→[CurrentVersion]→[Winlogons] 裡
[cachedlogonscount ]
這個值決定了“快取的登入次數“,其實也可以說是“最近登入網域的用戶的數量“,在 XP 中是 10。
即快取最新的 10 次“不同用戶“的登入。假設有一台電腦這個值設定成 2,接下來進行了四次登入,帳號依
序為sho tony mary mary,則電腦會快取 mary 及 tony 這兩個登入的紀遇。
接下來切斷 Client 與 DC 間的通訊,能夠登入的只有兩個人,即 tony 跟 mary,sho 則會顯示網域無法使用。
關於這個快取的資訊可以在 [HKLM]→[SECURITY]→[Cache] 中的 NL$3 及 NL$2 看到,同理如果
[cachedlogonscount ] 設定成 3,你會看到 NL$3,記得先讓管理員有讀取 [Security] 權限才看的到 [Cache]。
而這個值改成 0,就不會快取任何登入了。
2、使用群組原則修改
群組原則中的 [電腦設定]→[Windows設定]→[安全性設定]→[本機原則]→[安全性選項] 裡面有一條
[互動式登入:先前網域控制站無法使用時的登入快取次數]
這一條規則就是在設定這個項目,他會去更改 Client 端如 1 所述的登錄檔機碼。
關於這個快取的期限,據說是無限永不過期,我把系統改成 50 年後還能用就是了XD,不過別讓一台電紿離線太久會比較好。
修改方式有兩個方法:
1、regedit 中的 [HKLM]→[Software]→[Microsoft]→[Windows NT]→[CurrentVersion]→[Winlogons] 裡
[cachedlogonscount ]
這個值決定了“快取的登入次數“,其實也可以說是“最近登入網域的用戶的數量“,在 XP 中是 10。
即快取最新的 10 次“不同用戶“的登入。假設有一台電腦這個值設定成 2,接下來進行了四次登入,帳號依
序為sho tony mary mary,則電腦會快取 mary 及 tony 這兩個登入的紀遇。
接下來切斷 Client 與 DC 間的通訊,能夠登入的只有兩個人,即 tony 跟 mary,sho 則會顯示網域無法使用。
關於這個快取的資訊可以在 [HKLM]→[SECURITY]→[Cache] 中的 NL$3 及 NL$2 看到,同理如果
[cachedlogonscount ] 設定成 3,你會看到 NL$3,記得先讓管理員有讀取 [Security] 權限才看的到 [Cache]。
而這個值改成 0,就不會快取任何登入了。
2、使用群組原則修改
群組原則中的 [電腦設定]→[Windows設定]→[安全性設定]→[本機原則]→[安全性選項] 裡面有一條
[互動式登入:先前網域控制站無法使用時的登入快取次數]
這一條規則就是在設定這個項目,他會去更改 Client 端如 1 所述的登錄檔機碼。
關於這個快取的期限,據說是無限永不過期,我把系統改成 50 年後還能用就是了XD,不過別讓一台電紿離線太久會比較好。
Continues Errors at startup "Metadata staging failed"
Continues Errors at startup "Metadata staging failed"
I made an interesting discovery. Apparently microsoft has changed something on the domain. Maybe someone of you can order what to do.
I have checked the path in the registry and this is the result.
The path is for Metdaten: go.microsoft.com/fwlink/?LinkID=252669&clcid=0x409
Attachment 50810
I have the solution for the problem.
Searches on regedit for the following entry: DeviceMetadataServiceURL
There you change the URL in the following: http://dmd.metaservices.microsoft.com/dms/metadata.svc
after you have closed the editor is saved the change.
Now the problem is solved and it will also re-loaded device information.
I made an interesting discovery. Apparently microsoft has changed something on the domain. Maybe someone of you can order what to do.
I have checked the path in the registry and this is the result.
The path is for Metdaten: go.microsoft.com/fwlink/?LinkID=252669&clcid=0x409
Attachment 50810
I have the solution for the problem.
Searches on regedit for the following entry: DeviceMetadataServiceURL
There you change the URL in the following: http://dmd.metaservices.microsoft.com/dms/metadata.svc
after you have closed the editor is saved the change.
Now the problem is solved and it will also re-loaded device information.
訂閱:
文章 (Atom)