進制轉換

進制轉換
http://www.kwuntung.net/hkunit/base/base.php

查詢網卡MAC

查詢網卡MAC

https://regauth.standards.ieee.org/standards-ra-web/pub/view.html#registries

MIS 不可不知的十種常見退信原因

轉貼

http://download.ithome.com.tw/article/index/id/1239

身為公司的 MIS 人員，每天最忙的一件事就是替同仁們解釋信件為什麼寄不出去了，明明寫的就是國中生英文程度的退信訊息，

但員工老闆們就是看不懂（最怕還的不是看不懂，而是解釋不聽！）．

下面，我們歸納出十種最常見的退信原因，提供 MIS 人員們參考，在與員工解釋時，更加順手

第一名：收件人信箱爆了
這對方信箱容量已經超過了，你能有什麼辦法，沒辦法的，以下為常見的訊息
452 Message for **** would exceed mailbox quota
450 **** : out of quota

第二名：收件人不存在
對方主機根本沒這個信箱，最常見的是打錯字了，請 User 檢查一下吧，以下為常見的訊息
451 Requested mail action not taken: mailbox unavailable

第三名：信件過大，收件人伺服器拒收
一定是 User 的郵件內添加了過大的附件檔造成，此時將造成收件方拒收此封郵件
421 The Size of the Message Exceeds the Recipient's Size Limits For Incoming Emails
450 5.2.3 Msg Size Greater Than Allowed By Remote Host

第四名：碰上對方灰名單防垃圾機制
此一種狀況必須要第二次重寄才會成功，郵件無法即時寄達，不過這要怪收件人主機而不是貴司的主機，以下為常見的訊息
451 4.7.1 Temporarily rejected. Try again later.
451 Resources temporarily unavailable. Please try again later.
450 4.7.1 **** : Recipient address rejected: Policy Rejection- Please try later.
450 4.7.1 **** : Recipient address rejected: Try again, see ****
451 DT:SPM ****, ****, please try again
421 ****, SMTP service not ready

第五名：垃圾信寄太多了
我們實在不好實話實說，但您垃圾信可能真的寄太多了，收件者主機已經暫時或永久拒收你郵件了，以下為常見的訊息
421 4.7.0 [GL01] Message from (*.*.*.*) temporarily deferred
452 Too many recipients received this hour
421 #4.4.5 Too many connections to this host.
550 5.7.1 Our System Has Detected an Unusual Rate of Unsolicited Mail Originating From Your Ip Address. To Protect Our Users From Spam, Mail Sent From Your Ip Address Has Been Blocked. Please Visit Http://www.google.com/mail/help/bulk_mail.html To Review Our Bulk Email Senders Guidelines

第六名：郵件主機 IP 無法被反解
這是 DNS 技術上的問題，在台灣主要 ISP 皆有所謂預設反解，主要發生在學術網路或租用 IDC 機房的時候，必須要記得設定反解，以下為常見的訊息
421 Refused. You have no reverse DNS entry.

第七名：寄件者郵件地址打錯了
幫幫忙，連自己的郵件地址都打錯了，信當然寄不出去，請至郵件軟體中做修正，以下為常見的訊息
451 Domain of Sender Address Does Not Resolve

第八名：收件人伺服器硬碟已滿
這明顯不是你的錯誤，也不是你能管的，請告訴 User 打個電話去告知一下，以下為常見的訊息
452 Requested Action Not Taken: Insufficient System Storage
431 The Recipient's Mail Server Is Experiencing a Disk Full Condition

第九名：就是不讓你寄
在網路的世界這種歧視依然存在，就是不讓你寄，一句話都不讓說就擋在門外．通常這與你的 IP位置 與 IP 反解的名稱有關
552 Sorry, We Don't Allow Mail From Your Host
554 Your Ip (*.*.*.*) Is Dynamic Ip Address, Use Your Isp Smtp Server Instead

第十名：郵件內容被拒
很多主機目前不接受特定的附件檔，如 .EXE 或 .ZIP 這個時候就會有郵件被拒的狀況
554 5.7.1 The File Xxx Has Been Blocked. File Quarantined As:b100493a.xxx

本文作者: EVO郵件伺服器工作團隊

批次檔----時間同步

  w32tm /config /update /manualpeerlist:time.stdtime.gov.tw
  w32tm /resync

批次檔----清除本機列印快取

net stop spooler
del %systemroot%\system32\spool\printers\*.shd
del %systemroot%\system32\spool\printers\*.spl
net start spooler

批次檔-大量修改密碼

CLS
@ECHO Off
COLOR 70
MODE CON COLS=65 LINES=40
REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /t REG_DWORD /d 1 /f > nul
ECHO ----------------------------------------------------------------
ECHO     正在自動設定密碼....
ECHO ----------------------------------------------------------------
for /F "tokens=1,2 delims=, " %%i in (D:\acc.csv) do (
set username=%%i&set password=%%j
echo     正在設定 !username! 帳號之密碼為 !password!...
start /wait net user !username! !password! /domain
echo     設定完畢...
echo.
)
pause
rem REG DELETE "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul
rem REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v "DelayedExpansion" /f > nul 
exit

改變網域命名 第二種方案

除了ADMT遷移新舊網域以外 改變網域名稱也是第二種方式 不過風險極大  

參考文章
http://www.dotblogs.com.tw/swater111/archive/2013/07/10/109404.aspx

ADMT "cannot open database 'ADMT' requested by the login"

 ADMT移轉流程

1.舊網域 條件轉寄站設定將新網域查詢轉寄新網域
2.舊新網域建立樹系信任
3.在新網域AD安裝ADMT套件及SQL

但是ADMT出現找不到 "cannot open database 'ADMT' requested by the login"
因其必須在AD使用者及電腦建立連接SQL帳號

4.最後ADMT物件移轉  使用者或電腦等物件

參考文章
https://support.microsoft.com/zh-tw/kb/2266373

Workaround 1:
The standard practice is to install ADMT on a member computer in the target domain. Install SQL Express 2008 SP1 on a Windows 2008 R2 member server in the target domain and then install ADMT 3.2 on that same member server.

Workaround 2:
If you have a requirement to install ADMT 3.2 on a domain controller in order to use command-line or scripted user migrations with SID History, install SQL 2008 SP1 (non-Express edition) on a Windows Server 2008 R2 member server in the target domain and select that remote instance when installing ADMT 3.2 on the domain controller. Alternatively, you can install SQL Express 2005 SP3 on the domain controller.

Workaround 3:
If you have a requirement to install ADMT 3.2 and SQL Express 2008 SP1 on the same domain controller, use the following steps on the target domain's domain controller:
Install the Cumulative Update Package 4 for SQL Server 2008 on the domain controller.

963036 Cumulative update package 4 for SQL Server 2008.

Install SQL Express 2008 SP1 on the domain controller. Note the SQL instance name created during the install (default is SQLEXPRESS).

Microsoft® SQL Server® 2008 Express Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyID=01af61e6-2f63-4291-bcad-fd500f6027ff&displaylang=en

Create a domain local group with the format of "SQLServerMSSQLUserlt;DCComputerName>lt;InstanceName>". For example, if the domain controller is named "DC1" and the SQL instance was "SQLEXPRESS" you would run the following command in an elevated command prompt:

NET LOCALGROUP SQLServerMSSQLUser$DC1$SQLEXPRESS /ADD


Retrieve the SQL service SID using the SC.EXE command with the name of the SQL service instance. For example, if the SQL instance was "SQLEXPRESS" you would run the following command in an elevated command prompt and note the returned SERVICE SID value:

SC SHOWSID MSSQL$SQLEXPRESS

In the Windows directory, create the "ADMT" subfolder and a subfolder beneath that named "Data". For example, you would run the following command in an elevated command prompt:

MD %SystemRoot%\ADMT\Data

Using the SID retrieved in Step 4, set FULL CONTROL permissions on the %SystemRoot%\ADMT\Data folder. For example, if the SID returned in Step 4 was "S-1-5-80-3880006512-4290199581-3569869737-363123133" you would run the following command in an elevated command prompt:

ICACLS %systemroot%\ADMT\Data /grant *S-1-5-80-3880006512-4290199581-3569869737-363123133:F

Install ADMT 3.2 on the domain controller while selecting the local SQL Express 2008 instance.

[TroubleShooting] Resolve Event ID 1111 , 1114 Error

Windows 2008R2 log 出現錯誤訊息
遠端登入 mapping 本機印表機及其他資源 造成log警示

參考文章
Event ID 1111 — Terminal Services Printer Redirection
http://social.technet.microsoft.com/wiki/contents/articles/1451.event-id-1111-terminal-services-printer-redirection.aspx

KDC找不到適合的憑證供智慧卡登入

參考文章

http://atherbeg.com/2011/09/30/event-id-29-kdc-certificate-availability/

Windows 2008R2 新建功能  可以不用理他

Event ID 29 – KDC Certificate Availability

Our organisation is going through a major restructuring phase these days and we’re converting from an “Empty Root with many Child Domains” to “Single Domain Forests” model. Why did we go with the former model is a long story and definitely beyond the scope of this particular post so I’ll leave it for another day. For today, I’ll start the story and say that I’ve been developing build, process and migration documentation for the transition lately and most of my time is being consumed by that. Along the way, I’ve seen a few problems and I will be publishing some of them here so that people can benefit from it. Today, is the turn of “Event ID 29 — KDC Certificate Availability”.
If you are installing a new forest and have just promoted a member server to become the first domain controller in it (assumption that it’s a Windows 2008 or above forest), you might start seeing the following Warning message soon in your “System” log:
Event ID: 29, Source: Kerberos-Key-Distribution-Center, Level: Warning

The Key Distribution Center (KDC) cannot find a suitable certificate to use for smart card logons, or the KDC certificate could not be verified. Smart card logon may not function correctly if this problem is not resolved. To correct this problem, either verify the existing KDC certificate using certutil.exe or enroll for a new KDC certificate.


Log into server using a domain admin account.
Run “Server Manager” and proceed to “Add Roles”.
In the list of “Roles”, select “Active Directory Certificate Services”.
Select the following options:
Certification Authority
Certification Authority Web Enrollment (click “Add Required Role Services” when prompted)
Select “Enterprise” and click “Next”.
Select “Root CA” and click “Next”.
Select “Create a new private key” and click “Next”.
Leave default cryptography settings (RSA#Microsoft Sotfware Key Storage Provider, 2048, SHA256) and click “Next”.
Enter the common name for the CA as say [NetBIOS Name of Domain]-CA and click “Next”.
Change the validity period to a long period say 15 years and click “Next”.
Leave the certificate database settings as default and click “Next”.
Click “Next” when the Web Server introduction screen appears.
Click “Next” again (the only addition will be ASP support).
Click “Install” and “Close” when the installation completes.
Fire up the “Certification Authority” MMC window.
Navigate to Certification Authority (Local) –> [NetBIOS Name of Domain]-CA.
Right click “[NetBIOS Name of Domain]-CA” and click “Properties”.
Select the “Auditing” tab and check all the following options:
Backup and restore the CA database
Change CA configuration
Change CA security settings
Issue and manage certificate requests
Revoke certificates and publish CRLs
Store and retrieve archived keys
Start and stop Certificate Services (click “OK” to the warning).
Click the “OK” button and close the “Certification Authority” window.
Open “Certificates” MMC (Run “mmc”, Add/Remove Snap-in, Add “Certificates”, Select “Computer Account”)
Browse to “Certificates (Local Computer) –> Personal –> Certificates”. Check if a certificate already exists for the DC now, issued by the newly-created CA. Please note: There should be another one for the CA itself.
If not, right-Click on “Certificates” –> All Tasks –> “Request New Certificate”
Click “Next” twice (acknowledging a screen that informs that a policy enables auto-enrollment)
In the “Request Certificate” screen, check the “Domain Controller” check box only.
Click on “Enroll”.
Close the MMC.




This happens because the Domain Controller doesn’t have a valid certificate. If you search the Internet for the problem, you find the following article:http://technet.microsoft.com/en-us/library/cc734096(WS.10).aspx

Please note that in typical Microsoft fashion, it “assumes” that you have a valid certificate authority present within your organisation and therefore, you can just ask for a new certificate. You may have one if you’re introducing new Windows 2008 (R2) DCs into a pre-existing organisation but are likely not to have one if it’s a brand-new forest! The article, for some reason, doesn’t cover that possibility.

Prior to Windows 2008, having a certificate authority within your forest wasn’t really important as you were OK as long as you didn’t use anything that required it. It seems that Windows 2008 (R2) is different and the DC starts complaining soon after if you don’t have a valid certificate authority that can issue the DC a certificate. This problem won’t prevent anything from working but will keep generating this annoying warning message until fixed and obviously you want to keep your event log clean.

The solution, as you can tell now, is simple and that is to install a new Certificate Authority. The process is not difficult and an outline process is as follows:

It’s also useful to do the following steps afterwards:

Be patient after that as the DCs will probably take some time i.e. a few hours to request a certificate. As that happens, all DCs in questions will stop generating the warning messages mentioned above. If the messages remain after a day or so, then maybe Auto-Enrollment is not enabled or isn’t working properly. If not enabled, follow the process documented here. Alternatively, you could try logging on to the DC itself and request a certificate manually, using the process mentioned in the Microsoft article.

Hope this helps!

PC與SERVER的異同

PC與SERVER的異同
文章出處
http://ithelp.ithome.com.tw/question/10062091

任務特性不同
PC (Desktop/NB) 是給個人用的, 出再多問題, 影響的也只是使用的「一個人」而已;
Server 是給一群人用的, 少則數十人, 多則成千上百, 甚至幾十萬人, 稍有閃失, 影響層面難以估計.

PC 追求個人使用上的聲光效果體驗, 與個性化的自主性
Server 追求高負載的能力和穩定性, 與管理上的便利性

在以下討論前, 我們要先謹記以上的區別, 因為有很多差異, 是基於以上的特性不同而設計出來的.

電源供應器
Server 經常都具備 Redundant Power Supply (雙電源)的規格, 這點幾乎沒有一台 PC 可以達到. 理由當然不用多說, 只要回顧上面所提到的任務特性即知.

我一個客戶的舊 Server 原本只買了一個 Power, 某天這個 Power 故障, 全公司的 ERP 停擺, 生產線完全無法下單生產, 公司從上到下急得不得了, 急 Call 我們要送一個新的過去. 但是再怎麼快, 我們也要協調代理商調貨, 從倉庫出貨, 到我們手上, 再送到位處偏遠地點的工廠所在地, 最快也要耗了半天....

停機半天, 對一般 PC 使用者來說, 根本無關痛癢, 頂多打混半天; 但公司 Server 停半天, 影響的可能是: 幾百萬幾千萬的訂單無法如期交貨, 客戶從此就轉單到別家去; 或是, 業務人員無法立即查詢回覆新客戶正確的交期, 結果本來可以拿到幾百萬的訂單, 只因為別家可以馬上答得出來交期, 我們還要再等半天才知道, 訂單就從業務手上溜走.....

所以, 對某些公司來說, Server 別說是停機半天, 光停機一小時就足夠嚇死人了.

後來我這個客戶又買了四台新的 Server, 這四台通通都配備了雙電源, 以免重蹈覆轍.....

存活能力
從上面電源供應器的例子, 我們可以了解 Server 必須比 PC 有更高的存活能力, 在某些零件故障時, 還能夠繼續運轉下去. 基於這樣的概念, 於是就發展出許多獨門的存活技術.

例如: IBM/HP 的 Server, 可以把記憶體規劃成類似 RAID-1 的 Mirror 架構, 當一排 DIMM 的 RAM 故障時, 系統會自動切換到 Mirror 的那組 DIMM, 繼續工作, 而不會因此停擺. 甚至除了 Mirror 之外, 還可以有第三組 Spare (備用) 的 DIMM, 萬一 Mirror 那組故障, Spare 還可以再接替上去. 這個技術, 在 IBM 稱為 ChipKill, 其他廠商則有他們自己的名稱.

除了記憶體之外, 對於多 CPU 的主機, Server 也可以在一顆 CPU 故障時, 把故障的 CPU 隔離開來, 讓其他的 CPU 繼續運作下去, 雖然效能降低, 但是至少不用停機, 先把重要的事情處理完, 等有空檔再停機下來更換.

網路部分, 現在的 Server 標配都是 2-Port Ethernet 以上, 目的也是為了備援, 不會因為網卡故障而停機, PC 就沒有這樣的需求. 而且 Server 等級的 Ethernet 網卡, 還具備比 PC 更高階的功能, 例如: TOE (TCP/IP Offload Engine) 或是 iSCSI Offload Engine, 利用網卡本身的晶片來計算網路傳輸所需的運算, 減輕由 CPU 計算封包內容的負擔; PC 的網卡幾乎沒有, 也不需要這樣的功能.

硬碟部分, 常見的 RAID 備援當然不能少. 但是 Server 等級的 RAID 也比 PC 要更高級, 跟網卡一樣, 它可以將許多原本需要 CPU 介入的 RAID 運算, 移到 RAID Contoller 上面以硬體晶片來處理, 減輕 CPU 的負擔. 大部分 PC 的 RAID 都是 fake-RAID, 還是需要大量的 CPU 軟體介入處理.

當然, PC 也可以另買高檔 RAID Controller 來插, 但這樣一來, 價格不是也跟 Server 一樣了? 而且這裡又會凸顯出另外一個差異: PCI 擴充槽的數量和速度....

Server 的記憶體, 通常具備 ECC 錯誤修正的能力. 早期的 PC (我是說:很早期...10 幾年前) 也有 ECC 的設計, 但是後來因為成本的競爭劇烈, 且大部分使用 PC 的人, 都不介意少許錯誤的發生 (畫面少幾個點, 少許的顏色跑掉, 聲音錯了幾個 Bits.....誰分得出來啊?), 所以, 後來的 PC 都把 ECC 給拿掉了.

但是 Server 可不能這麼隨便, 試想: 如果有一天, 業務下單了之後, 到了工廠要生產時, 數量欄位上的某個數字突然變了, 卻沒有人知道這件事, 結果生產出來的結果和當初下的單不一樣, 請問這個損失是誰要出來扛? 業務? 還是工廠?.....只是 RAM 裡面的一個資料錯了而已....

所以, ECC RAM 已經是 Server 的標準配備了, 現今沒有一台 Server 級的電腦, 敢不配 ECC RAM 就給客戶使用的. 但是 ECC 也有高低檔之分別, 初級的 ECC 功能, 只能分辨 1 個 bit 的錯誤, 如果同時發生的錯誤多過 1 個以上, 有可能會分辨不出來. 但是像 IBM/HP 等高階品牌的 Server, 都另有高階的 ECC 功能, 可以分辨 1 個 bit 以上的錯誤, 詳細規格及介紹, 各位可以參閱原廠的介紹型錄.

整體效能
PC 玩家常以「超頻」來取得更多的 CPU 效能, 但對於講求「穩定」的 Server 來說, 超頻的風險太大, 通常都以 Multi-way CPU 來解決. PC 鮮少有配備兩顆以上的 CPU 插座(Socket), 但是 Server 除了最低階的機型以外, 中階機型至少配備 2~4 個 CPU 插座, 高階機種則有 8 個以上的 CPU 可以使用.

企業剛買 Server 時, 可能為了經濟性, 只買一顆 CPU; 但日後隨著業務量的增加, 可以只家買 CPU 就能夠提高效能, 而不必為了補充效能的不足, 又另外買一台新的 Server. 這個在企業的財務管理和資產管理方面, 有其必要性.

除了透過 Multi-way SMP CPU 來增加效能之外, Server 所使用的 CPU, 其內的 Core/Cache 數量也比 PC 版本來得多. 這些增加的效能, 都是 PC 等級無法追上的. 除此之外, 還有許多 CPU 技術是 Server 獨有, PC 基於經濟性的考量是沒有的, 這方面的比較, 有請更專業的網友提供兩者的比較.

除了 CPU 的擴充性高以外, I/O 的效能也是需要考量的. PC 雖然也有高效的 PCI-e/PCI-X 擴充介面, 但是其數量可能太少 (只有 1~2 個), 或是等級較低 (PCI-e x1, x2, x4); 但是 Server 的擴充性就大許多 (4~6 個), 而且等級也較高 (PCI-e x4, x8, x16). 有些 PC 雖然具備高效 PCI 插槽, 但是卻被閹割成只能接受某些特定種類的卡 (例如: 繪圖卡), 並不是全面通用的, 所以經常有高階的 PCI 擴充卡(RAID, FC), 插到 PC 上面會出問題, 或是無法使用.

但是相反的, Server 在圖形處理方面, 就不需要具備太多的效能, 因為不可能讓全公司幾十人或幾百人, 都擠在 Server 前面看畫面輸出, 所有資料都是透過網路, 傳輸到 Client 端的 PC 之後再顯示. 所以, Server 的顯示介面, 通常就是標準的 VGA (XVGA) 通常就足夠了, 不需要甚麼 GPU, 2D/3D rendering...這些高階繪圖的功能.

另外一個不需要在 Server 上面出現的, 則是影音呈現的能力, 理由同上. 所以, Server 也不會有甚麼 HDMI, SPDIF, 7 聲道, MPEG 硬壓/解...這些 A/V 功能.

(奇怪, 不是說字數限制已經擴充到一萬字了嗎? 怎麼我的回應還是只能寫一千字?......)

RAID 部分要再補充一下, Server 用的 RAID Card 不是只有單純的 RAID 功能而已, 為了增加效能, 通常還會再加裝 RAID 專用的 Cache, 而且為了安全性, Cache 還可以加裝電池, 也具備電池定期自動充放電的管理功能.

此外, 為了避免單一 RAID Card 故障, 也可以用兩片 RAID Card 組成 HA 架構來備援, 當然, 此時硬碟也必須使用 Dual Port 的硬碟, 一般 PC 的硬碟是無法提供這種備援的.

管理能力
談到管理, 這點就是 PC 望塵莫及的地方了. 大部分的 PC 玩家, 如果沒有在企業環境中長期工作過, 不會覺得管理能力有甚麼了不起的地方.

但是企業的環境多變, 很多狀況下, IT 人員可能無法親自前往 Server 放置的地點操作, 近者也許相差幾層樓, 但偏偏你就是分不開身, 無法走過去; 遠則可能在另外一個城市, 或是另外一個國家, 就算你就空可以去, 所花費的時間和旅行成本, 是企業沉重的負擔.

因此第一個管理能力就因此而誕生: 就是能夠遠端管理 Server 的能力.

IBM/HP/Dell 的 Server, 都可以加買一個 Ethernet 的遠端管理介面, 這個介面類似 IP-KVM 的功能, 基本上, 就是把 Server 的畫面, 透過 Ethernet 網路傳出來, 管理人員在遠端, 只需要使用瀏覽器, 就可以操縱遠端 Server 上的一舉一動.

如果只是這樣的話, 那麼市售的 IP-KVM 就可以解決了, 何必要買原廠的呢?.....(才不呢..)

原廠提供的這個介面通常是用 IPMI 的標準來製作, 它除了可以看到開機之後的畫面以外, 也可以看到開機時的 BIOS 顯示畫面, 以便了解是否有甚麼錯誤....更重要的: 他甚至可以操控 Server 的電源開關!! 你只要在瀏覽器上按鍵, 就可以將 Server 關機; 或是將他開機 (即使 Server 是在關機的狀態, 也可以被從遠端遙控開起來)

此外, 這個遠端管理功能, 還可以將操控端的 CDROM 掛上來, 把她掛載成遠端 Server 可以使用的 CDROM, 因此你不必跑到遠端 Server 去放光碟片, 只要把光碟放在自己的 CDROM 上, 就可以讓遠端 Server, 從這張光碟開機, 安裝作業系統.

第二種管理能力, 就是 Server 能夠做自我診斷, 目前也沒有一台 PC 能做到.
現代的 Server 面板上, 都有一個診斷面板, 上面可以直接顯示故障的硬體種類, 例如: 下面這張圖是 IBM 的 Light-path 面板, 平常是收藏在 Server 裡面, 發生硬體故障時, 把他拉出來看上面的燈號, 就可以知道故障的組件, 回報給原廠客服之後, 馬上會派人來更換:

我有一個客戶, 新買了一台 IBM Server, 用了兩個月, 突然發生系統無故卡死, 必須重開機才能解決. 剛開始以為是作業系統安裝的問題, 但是前面用了兩個月都沒事, 卻在一周內卡死三次; 後來 IT 人員到機房去重開機時, 看到上面那個面板, 亮出橘色的燈號, 標示著: CPU......

客戶打電話給我, 請示該如何排除故障? 我一聽是 CPU 亮燈, 二話不說, 叫客戶馬上 Call IBM. IBM 經過初步的問診之後, 立刻排時間派工程師, 帶一顆 CPU 來更換. 更換之後, 一切恢復正常.

試想, 這個事件, 如果發生在 PC, 你要查多久, 才會懷疑是 CPU 故障?....新買的喔....
有了這個診斷介面, 我連想都不用想, 可以立刻判斷是否需要原廠的維修服務, 省下寶貴的時間.

更有甚者, 某些 Server 打開機殼之後, 在主機板上四處都藏有紅色的 LED, 在故障零件旁邊就會亮起紅燈. 例如: 面板顯示 MEM 故障, 但是記憶體那麼多條, 我哪知是哪一條故障? 此時, 故障的 RAM 旁邊, 會自動亮起紅色的 LED, 打開機殼一看便知, 該換哪一條....

如果是一般 PC, 你豈不是要一條一條換起來試? 如果故障問題是要跑兩三天才會發生一次, 一台插滿 18 條 RAM 的 Server, 你要花幾天去試, 才能抓到故障的組件?

維護保固

Server 還有個很重要的附加價值, 就是原廠的維護服務 (雖然還是要用錢買, 但仍很重要...)

PC 玩家常常對原廠的維護服務嗤之以鼻, 自栩功力高強, 有甚麼硬體維修搞不定的呢? 對呀, 自己修電腦, 東換換西換換, 搞不出來, 還可以去逛逛光華商場, 看看有甚麼新鮮貨可以拿來試試看; 或是掛網上論壇, 與眾網友們切磋討論一番, 打屁哈啦, 最後終於找出病因, 換對了東西, 看著他順利的運轉起來, 心中有多麼大的滿足, 多麼有成就感的一件事情啊!!....

但是, 企業老闆願意讓你花多少時間這樣試? 這樣玩?....通常主機一停擺, 5 分鐘之內就會有員工跳腳, 10 分鐘之內, 你桌上會有接不完的電話鈴聲響起, 這時你是要接電話道歉, 還是不管電話, 繼續修電腦?

30 分鐘之後, 主管開始來關心:「...會不會很難修啊?」; (難修? 當然不會啦, 這一點小問題怎麼難得到我這個高手玩家? 只是要給我一些時間找看看問題....),

2 小時過去了, 你正在滿頭大汗地應付一堆拆散的零件, 這時, 突然業務部主管氣沖沖的衝進來, 用力往桌上一拍:「你到底還要修多久啊!!....國外客戶等我們報價已經等得不耐煩了, 你這個 ERP 不開起來, 我們要怎麼算成本和交期, 給國外客戶報價啊!!」....(你只能臉上三條線)

4 小時過去了, 公司緊急召開一級主管會議, 業務部門在裡面咆哮, 威脅要把你給開除掉....

不管你自己有多麼厲害, 多麼會修電腦, 在企業營運裡面, 千萬不要把這個責任攬到自己身上, 因為修得好只是剛好, 修不好就都是你的錯. 如果你買了原廠保固維護服務, 只要輕鬆地打一通電話給原廠客服, 剩下的就聽他們指令來動作, 如果需要派工到場維修, 你也可以名正言順的告訴公司其他部門:「我們已經報修了喔, 現在只要等工程師來, 在這之前, 都不關我的事.....」



如果公司還抱怨維修太慢, 你還可以反將一軍: 誰叫公司當初不肯花錢買「7x24 四小時到場」服務? 為了省錢只用最低階的 5x8 NBD (隔日到場), 結果你看吧, 現在害到的是你們自己, 要明天才能修好....趁此機會爭取更多的維護預算.

執行 gpedit.msc 顯示剖析時發生錯誤

引用文章
https://social.technet.microsoft.com/Forums/zh-TW/0517de18-ee54-425a-85e6-1f6a2324cb4d/-gpeditmsc-?forum=windows7cht

OfficeScan 10.6 用戶端與Windows 8.1和Windows 2012 R2版本相容性解決方案

OfficeScan 10.6 用戶端與Windows 8.1和Windows 2012 R2版本相容性解決方案

參考文章 http://esupport.trendmicro.com/solution/zh-TW/1101917.aspx
不過如果沒有安裝程式 似乎也可以在windows 2012安裝Officescan

SQL2012 錯誤訊息 Fix Event ID 10016 DistributedCOM error

新安裝 SQL2012 event 出現錯誤訊息

Fix Event ID 10016 DistributedCOM error

參考文章如下
http://toastergremlin.com/?p=488
但是還是會出現錯誤訊息 待解決

AD 使用工具 Pstools

psping檢測網路工具

remote register 服務必須開啟
http://www.dotblogs.com.tw/swater111/archive/2012/11/20/84727.aspx?fid=77645#feedback

遠端登入過慢

遠端登入過慢

參考文章
http://www.itnotes.eu/?p=1193

http://www.brianmadden.com/blogs/terminal_services_for_microsoft_windows_server_2003_advanced_technical_design_guide/pages/troubleshooting-slow-logons.aspx

https://social.technet.microsoft.com/Forums/windowsserver/en-US/0dd2c0db-4eab-4e66-801d-76aeca59367a/remote-desktop-services-has-taken-too-long-to-load-the-user-configuration-from-server-event-id-20499?forum=winserverTS

windows 2012 還是有問題 待解決

Update WSUS 3.2.7600.251 to latest version

WSUS for windows 2008R2 無法辨識window 2012 出現系統名稱出現windows 6.3

參考文章入下
https://social.technet.microsoft.com/Forums/windowsserver/en-US/f1cfccc0-65ac-418b-8a7a-af05bf2976ef/update-wsus-327600251-to-latest-version?forum=winserverwsus

將wsus升級到最新版本] 但是還是不能辨識 windows 2012

AD Event ID 36 — Supported Plug and Play Device Redirection

AD Event ID 36 — Supported Plug and Play Device Redirection

遠端登入都會出現 印表機錯誤相關訊息 因為遠端會將本機服務移轉至遠端
在遠端桌面設定 取消打勾 本機裝置與資源 就不會有這樣情況

參考文章
https://technet.microsoft.com/zh-tw/library/cc775202%28v=ws.10%29.aspx

Windows 2008R2 log 出現錯誤訊息
遠端登入 mapping 本機印表機及其他資源 造成log警示

參考文章
Event ID 1111 — Terminal Services Printer Redirection
http://social.technet.microsoft.com/wiki/contents/articles/1451.event-id-1111-terminal-services-printer-redirection.aspx

DNS Client 查詢過程 大解析

DNS Client 查詢過程  大解析
用戶端如何輪尋DNS Server  尤其是多張網卡下  每張網卡有不同DNS Server 

參考文章入下
http://blogs.technet.com/b/stdqry/archive/2011/12/02/dns-clients-and-timeouts-part-1.aspx
http://blogs.technet.com/b/stdqry/archive/2011/12/15/dns-clients-and-timeouts-part-2.aspx

AD 物件sid guid相關文章

AD sid guid相關文章

http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx

AD 警示訊息 Web Service Error 1202

AD 警示訊息 Web Service Error 1202
Source: ADWS
Error: 1202
This computer is now hosting the specified directory instance, but Active Directory Web Services could not service it. Active Directory Web Services will retry this operation periodically.
Directory instance: GC
Directory instance LDAP port: 3268
Directory instance SSL port: 3269

會造成這個錯誤訊息 是因為兩台AD都設定GC所造成 經technet查詢
https://social.technet.microsoft.com/Forums/windowsserver/en-US/62a3f70f-d326-4d52-aee8-42b59a0298b9/ad-web-service-error-1202
修正過後就沒有這樣訊息

AD所使用之通訊埠 防火牆設定必用

AD所使用之通訊埠 防火牆設定必用 尤其是不同網段防火牆設定 參考文章 technet

Active Directory Replication over Firewalls
http://technet.microsoft.com/en-us/library/bb727063.aspx

How to configure a firewall for domains and trusts
http://support.microsoft.com/default.aspx?scid=kb;EN-US;179442

Network Ports Used by Key Microsoft Server Products
http://technet.microsoft.com/zh-tw/library/cc875824(en-us).aspx

AD事件檢視器 警示訊息Event ID 2887

AD事件檢視器一直出現ID2887警告訊息  警告訊息如下  

記錄檔名稱:         Directory Service
來源:            Microsoft-Windows-ActiveDirectory_DomainService
日期:            2015/8/10 上午 10:14:55
事件識別碼:         2887
工作類別:         LDAP 
介面等級:           
警告關鍵字:           
傳統使用者:    ANONYMOUS LOGON
描述:在前 24 小時期間，有些用戶端嘗試執行 LDAP 繫結: (1) 未要求簽署 (完整性確認) 的 SASL (交涉、Kerberos、NTLM 或摘要) LDAP 繫結; 或 (2) 在純文字 (非 SSL/TLS 加密) 連線執行的 LDAP 簡單繫結  此目錄伺服器目前並未設定拒絕這種繫結。藉由設定伺服器拒絕這種繫結，可大幅強化目錄伺服器的安全性。如需有關如何變更伺服器組態的詳細資料和資訊， 請參閱 http://go.microsoft.com/fwlink/?LinkID=87923。  過去 24 小時收到這些繫結個數的摘要資訊如下。  您可以啟用其他記錄來記錄每次用戶端進行這種繫結的事件。若要如此，請將「LDAP 介面事件」事件記錄類別的設定提升至層級 2 或更高。  未使用 SSL/TLS 的情況下所執行的簡單繫結個數:24 在未使用簽署的情況下所執行的交涉/Kerberos/NTLM/摘要繫結個數:0


參考文章如下     
https://technet.microsoft.com/en-us/library/dd941856(WS.10).aspx
https://support.microsoft.com/zh-tw/kb/935834

經technet 查詢  這是Windows 2008R2 新增功能 警示LDAP未加密  
可以改用LDAPs加密以增加安全性  或者不理他

AD 新舊網域移轉 物件相關問題

ADMT 裡面有幾個精靈:

「使用者移轉精靈」、「電腦移轉精靈」、「群組移轉精靈」、「服務帳戶移轉精靈」、「信任移轉精靈」以及「資料表格精靈」

ADMT 遷移的過程中, 樹系內(Inside Forest)和樹系間(Intra-Forest)的結果會不太相同:

物件保護:
樹系間: 複製, 原物件仍存在
樹系內: 遷移, 原物件會消失

SID記錄維護:
樹系間: 可選擇   
樹系內: 必須維持一致姓

密碼保留:
樹系間: 可選擇    
樹系內: 一律保留原

密碼本機設定檔遷移:
樹系間: 需使用工具精靈, 手動遷移    
樹系內: 一律自動遷移


其他重要的相關訊息, 以及最佳施行範例,
請自行下載文件http://www.microsoft.com/downloads/details.aspx?familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=zh-tw