最近在公司內部部署了一個透過 Windows 驗證的內部網站,基本上要透過 Windows 驗證登入該網站,有幾個必要的設定,分別是「使用 Internet Explorer 登入該網站」與「該網站必須加入到近端內部網路區域中」,為了讓公司內部所有人連接該網站都能啟用 Windows 驗證,我勢必要透過 GPO (群組原則) 加上發佈近端內部網路網站網址清單,但我的 AD 是 Windows Server 2008 R2 與 Windows Server 2012 版,要設定的 GPO 原則怎樣都找不到,因為這個 Internet Explorer 的設定路徑跟前幾版差別太大,所以特別需要筆記一下,否則下次肯定又忘了! >”<
... 繼續閱讀 ...
前幾天有個朋友請問幫他查伺服器的問題,由於他購買的是國外的 VPS 虛擬私人伺服器,而該伺服器安裝的作業系統是 Windows Web Server 2008 R2 x64 版,怪的是,任何其他電腦都可以連的上,就只有我的個人電腦 Windows 7 Ultimate x64 怎樣也無法連接到他的伺服器,回應的錯誤訊息是「您的認證無效」,詳細說明是「用來連到 xx.xx.xx.xx 的認證無效。請輸入新的認證。」。我之前可以連接其他數十台伺服器都很正常,沒有連線失敗過,就只有這一台伺服器有這個問題,最後雖然沒有釐清問題發生原因,但我還是找到了解決辦法,以下就針對解決問題的過程做了一些筆記。
... 繼續閱讀 ...
我們有個客戶的生產環境的資安要求極其嚴格,我們廠商進去維護都必須申請才能提高權限,否則就要委由系統維護人員進行操作,所以非常不方便。然而他們向我提出了個例外條件,就是他們可以接受特定服務可以由廠商的特定帳號來管理,不過好像 Windows 沒有這種授權方式,請我找看看有沒有這種方法。最後我也研究出設定的方法,還真的 100% 符合客戶的要求,今後我們維護作業就更輕鬆了,以下是設定的方法筆記。
... 繼續閱讀 ...
Windows 防火牆其實是個非常不錯的玩意,只是一般人比較不清楚要如何游刃有餘的設定他,我這幾年經手過不少 Windows 伺服器,我發現設定錯誤的人其實蠻多的,而更有大部分的伺服器主機根本預設關閉 Windows Firewall 服務,只依賴客戶額外採購的硬體式防火牆來保護主機的網路安全,這篇文章裡我打算分享一些我在設定這些輸入/輸出規則的一些經驗與檢查現有防火牆規則的一些步驟,跟大家一起分享與探討,看是否有更好的方式能將 Windows 防火牆設定的更安全。
... 繼續閱讀 ...
這又是一個執行 sysprep 一般化之後所衍生的問題!我新安裝的 Windows Server 2008 R2 已經加入網域,也用網域帳戶登入過了,然後將主機卸離網域,再執行 sysprep 一般化,然後建立新 VM 開機後重新加入網域,這時如果用之前登入過的那個網域帳號進行登入的話,就會遇到在登入時完全無法建立使用者設定檔 (User Profile) 的狀況,也代表著存放在 C:\Users\<Username> 目錄的資料(例如桌面、我的文件、…等等)只要登出就會被刪除,不勝其擾,以下是解決辦法。
... 繼續閱讀 ...
今天因為公司有需求必須架設壹台 唯讀網域控制站 (RODC) 起來,由於我公司裡有兩台 DC,基本上運作沒啥問題,不疑有他的直接開始安裝,不過安裝過程實在是非常的不順利,問了幾個人都說 RODC 很簡單,也從來沒有人遇過有裝不起來的狀況(突然驚覺我經常遇到這種很背的事),不過還好後來還是解決了,特別記錄一下解決問題的過程筆記。
... 繼續閱讀 ...
昨天去參加微軟對合作伙伴所開的 Windows Server 2008 / R2 Active Directory 疑難雜症專班 課程,每次去參加由微軟技術支援中心所開的課程都可以學到好多超實用的知識,也很感謝講師 Dennis 不藏私的傳授各種實務密技,在下課前還得到一本老師送的書,實在很開心。這次的課程十分豐富,很難透過文章一次表達清楚,所以我就整理一下這次教學的重點筆記,如果都能理解,相信對未來遇到 AD 的疑難雜症時能夠有更明確的解決方向。
... 繼續閱讀 ...
從 Windows 7 與 Windows Server 2008 R2 開始,新增了兩種特殊的帳戶類型,分別是「受管理的服務帳戶(Managed service accounts)」與「虛擬帳戶(virtual accounts)」,可有效隔離各種網路服務以提升安全性,我今天會集中在講解 IIS 7.5 與虛擬帳戶之間的實際運用與範例。
... 繼續閱讀 ...