10 qishine

尚未进行身份认证

企业内部IT.熟悉微软产品希望和大家一起努力建立自己公司强壮的IT环境

等级
TA的排名 5w+

Windows优先使用IPv4

当前主流的Windows系统(从Windows 7之后)都会同时使用ipv6和ipv4,并且优先使用ipv6。当你ping另一个服务器的时候就能看到,优先使用的是ipv6进行通信。由于能够在DNS中解析到AAAA记录,所以本地服务器会优先使用ipv6进行通信,对方也会回应。如果看不到图,请点我。有些情况下,我们想让服务器优先使用ipv4通信怎么办呢?微软推荐是修改注册表来实现,而不是禁用i...

2019-12-05 11:17:19

批量修改DNS记录的TTL值

最近有个需求,需要修改Windows DNS服务器上区域下所有A记录的TTL值。原先默认的TTL是1小时。也就是说,其它DNS服务器会缓存查询到的记录1个小时。对于近期需要大量修改记录的情况来说这样生效时间会比较长。所以最好将TTL先改短,然后再更新记录。查看记录的TTL值需要打开DNS管理单元的高级功能视图。对于区域里的后续记录可以修改区域属性里的TTL值,这样以后创建出来的记录就都是新的T...

2019-11-27 17:25:23

系统无法启动inaccessible boot device

近日有一台Windows 2016遇到了系统无法启动的问题,出现错误inaccessible boot device。发现系统可以进入故障恢复模式,看来问题还不大。因为进入故障恢复模式的时候自动识别的当前的系统,并且要求输入Administrator密码,说明最基本的系统功能还是正常的。先是尝试了chkdsk修复磁盘,但是没有作用。然后尝试启用启动日志,结果也没有发现ntbtlog.txt。按...

2019-11-19 10:34:56

托管服务账户

定期修改账户的密码是个好习惯,也可以确保安全性。通常活动目录中的账户都会要求定期修改密码。对于普通用户账户来说这个并没有什么问题,但是对于用于服务运行的账户来说定期修改密码会增加很多维护成本。所以,通常管理员会将这些账户勾选密码永不过期,这样无疑增加了风险。Windows中有托管服务账户Managed Service Account这个功能。可以把密码维护的工作交由Windows自动管理,即保...

2019-11-13 17:33:53

使用mbr2gpt将MBR磁盘转换为GPT磁盘

随着越来越多的新PC的到来,UEFI启动渐渐的取代了BIOS启动方式。不过UEFI需要从GPT磁盘启动,原来的MBR磁盘不行。如果你更换了硬件,只想把磁盘拿到新平台上用又不想重装系统的话就麻烦了。以前并没有把磁盘从MBR转成GPT的工具。现在微软官方给出了一个工具mbt2gpt.exe。这个工具包含在Windows 10 的1703版本里,之后的版本和Windows Server 2019里都包含...

2019-11-06 16:22:48

活动目录功能级别降级

作为传统的Windows管理员肯定知道,活动目录的域功能级别和林功能级别一直都是只能升级不能降级的。但是现在微软提供的命令来设置域功能级别和林功能级别。可以从高版本设置到低版本。先用以下命令来看一下我们测试环境contoso.lab的目前情况。如果看不到图,请点我。Get-ADForest | fl Name,ForestModeGet-ADDomain | fl Name,DomainM...

2019-10-30 17:07:30

在Windows客户端自动设置AD用户头像

Windows现在可以设置用户头像,并在开始菜单显示。如果你安装了Exchange或者Lync,那么可以在Outlook或者Skype里看到用户的头像。这个图片是存储在AD用户属性里的。对于桌面电脑的设置,我们可以同样利用这个属性将AD中的图片作为域账户的图片在客户端本地显示。总体思路是,从AD中获取用户头像。然后在本地配置获取的图片作为当前用户的头像。获取用户头像,并修改注册表配置用户头...

2019-10-21 13:09:12

Windows LDAP加固之替换LDAP加密证书

之前两篇文章介绍了LDAP的安全加固,其中提到了TLS加密LDAP通信。对于通常的网页加密,RDP加密都可以在对应的管理界面中选择使用哪个证书来加密。那么对于LDAP服务,怎么确定当前使用的是哪张证书,如何更换对应的证书呢? 首先需要确定当前域控上使用哪个证书来加密LDAP。可以在本地的证书管理单元中查看计算机证书,但是对于有多张证书的服务器来说,需要确定具体哪张证书...

2019-10-14 13:33:13

Windows LDAP加固之LDAP over SSL和通道绑定

很多网络通信都可以用SSL来加密的,LDAP也不列外,同样可以用SSL加密。LDAPS使用的证书必须满足以下几个条件:1.证书的增强性密钥用法中必须有服务器身份验证Server Authentication2.证书的名称或者SAN名称中的第一个是域控的FQDN3.服务器端有证书的私钥4.证书被客户端信任如果看不到图,请点我。从客户端上测试一下基于LDAPS的Simp...

2019-10-07 13:31:58

Windows LDAP加固之LDAP签名

微软计划于2020年1月推出补丁更新,启用LDAP签名。虽然目前版本的操作系统已经包含了这个功能,但是微软并没有将它启用。随着时间推移,网络上的威胁越来越多。凭据重放和中间人攻击在LDAP的攻击中显得极为有效。所以,我们需要尽快启用LDAP签名这个安全特性。值得注意的是微软的目录服务通常在企业内部用作最基本的身份验证,很多其它系统也依赖于Windows提供的LDAP服务,这些三方系...

2019-10-03 15:47:38

Windows Server体验之升级安装

由于Windows Server的版本是每半年更新的,而微软对于产品的支持周期又是有限的。比如Windows Server 1803的主流支持只到2019年11月12日。也就是说,最多1年半,就需要更新Windows Server到最新版本。这个更新频率是非常高的。而Windows Server的配置相比传统Windows服务器来说又是相对较复杂的。所以,测试Windows Server的跨版本更...

2019-09-27 16:43:24

Windows Server体验之SSH远程连接

经过之前的各种远程管理方法,WindowsServer可以被很好的管理,也能符合大多数Windows管理员的使用习惯。不过既然是命令行版本的Windows能不能和Linux一样管理呢?Windows上启用SSH服务。为了符合Linux的管理方式,那么就需要在Windows上启用SSH服务。微软官方也给出了如何在WindowsServer上使用OpenSSH管理的方法。OpenSSHin...

2019-09-20 15:21:33

Windows Server体验之应用兼容性按需功能

Windows Server默认仅能支持几个有图形界面的应用包括注册表编辑器regedit、记事本notepad、任务管理器taskmgr、时间设置control timedate.cpl、区域设置control intl.cpl等。为了提高系统兼容性,微软又推出了一些带图形界面的按需安装的程序,包括mmc、事件查看器、性能监视器、资源监视器、文件资源管理器Explorer、Powershell ...

2019-09-12 17:00:50

Windows Server体验之管理

安装了只有命令行界面的Windows Server之后怎么去管理,对于传统的Windows管理员来说确实是比较棘手的。因为没有了图形化的管理界面,需要更多的去依赖Powershell或者cmd命令去做管理。这里不得不介绍一下一个非常好用的管理平台Windows Admin Center。Windows Admin Center可以从这里下载。并且更新频率非常高。https://docs.mic...

2019-09-03 17:44:11

Windows Server体验之安装

微软在Windows Server家族中有一个新的家族,名字就是Windows Server。这个按半年频道更新的版本目前是1903和Windows 10的命名方式一样。这个产品就是以前的服务器核心安装Server Core。是没有图形化界面的,并且不支持在图形化界面和core之前转换。这样做的好处是减少服务器资源占用,减少被攻击面。相比传统Windows服务器而言,core版本的Windows性...

2019-08-30 14:58:56

Windows 10无法显示无线网络连接

最近刚刚升级了一下操作系统,升级到了1903版本。正好又有一个HP的打印机安装了一下。结果,发现居然无法管理无线网络了。如果看不到图,请点我。右击选择连接,也无法显示SSID。驱动是从这个官网下载的。https://support.hp.com/cn-zh/drivers/selfservice/hp-color-laserjet-pro-mfp-m177-series/5...

2019-08-21 20:24:43

Windows 2019通过网页修改域用户密码

对于域用户来说,定期修改密码是必须的。对于没有Exchange的组织,而且经常出差在外的人员,能及时修改密码就变得很重要了。在Windows 2003的时候有iisadmpwd可以修改。但是这个页面在2008的时候取消了。如果看不到图,请点我。自从Windows 2012 R2开始又可以通过Remote Desktop的一个组件修改密码了。这个功能本来是为了让RDP用户修改密码的。因为如果远...

2019-08-14 14:54:02

Windows下使用SSH连接到旧设备

正好今天遇到一个旧设备有点问题,需要通过SSH的方式连接上去检查。Windows 10自带了SSH命令,可以直接连接而不必寻求其它工具的支持了。如果看不到图,请点我。结果发现无法连接,显示协商错误。目标机器需要使用Diffie-Hellman密钥交换协议中group1-sha1的方式。于是加上参数继续连接但是继续遇到错误,显示旧设备只支持3des-cbc的加密方式。只能再加上参数连接。于是...

2019-08-08 17:48:46

Windows Powershell 对于布尔值的处理

Windows PowerShell中有很多场景需要输入0或者1作为命令的参数。Powershell对于布尔值的逻辑处理究竟是怎样的呢?除了最常用的$True, $False, 1, 0。对于要求输入布尔值的参数的命令,如果输入一些其它的字符串会怎么样呢?这个就牵涉到PowerShell内部的处理机制了。首先给一个简单test函数,可以让系统自己判断输入的变量将会被判定为TRUE还是FALSE。...

2019-08-02 17:36:37

关于活动目录回收站的一些注意点

活动目录回收站AD Recycle Bin这个2008 R2引入的新功能可以很好的帮助我们快速恢复一些被误删的对象,但是微软默认没有开启它。如果需要开启这个功能,以下内容请一定要注意。关于如何启用活动目录回收站有很多其他的贴子会说明,包括AD Admin Center里启用和powershell启用。1.需要等到所有域控都完成同步后,回收站功能才会生效。2. 活动目录数据库ntds.dit...

2019-07-26 16:15:10

查看更多

CSDN身份
  • 论坛版主
勋章 我的勋章
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 微软mvp
    微软mvp
    授予通过CSDN博客平台积极分享微软相关技术知识和专业技能,并做出突出贡献的用户。
  • 勤写标兵Lv1
    勤写标兵Lv1
    授予每个自然周发布1篇到3篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。
  • 红花
    红花
    子板块内专家分月排名榜第一
  • 黄花
    黄花
    子板块内专家分月排名榜第二
  • 蓝花
    蓝花
    子板块内专家分月排名榜第三