首页 > 其他分享 >Microsoft 技术专家常见问题

Microsoft 技术专家常见问题

时间:2023-11-07 13:31:41浏览次数:32  
标签:UDP 常见问题 -- 专家 TCP DC --- 服务器 Microsoft

AD相关

1.什么是活动目录墓碑时间,默认设置是多久?

活动目录墓碑时间是指从在AD中删除某对象开始,到该对象真正被删除的时间间隔。这个时间间隔的默认值是60天,但自Windows Server 2003开始,这个时间间隔有所增加,为180天。这样做是为了保证这种删除操作被复制到域中其它的DC。

在AD中,被删除的对象并不会立即消失,而是会被标记为“已删除”,并保留在活动目录中一段时间,这段时间就是所谓的墓碑生存时间。在这段时间内,被删除的对象信息仍然存在于活动目录数据库中,并且可以通过相应的工具进行恢复。

在墓碑生存时间结束后,这些被标记为“已删除”的对象将被彻底从活动目录中删除。这个时间间隔是固定的,不能进行调整。如果要缩短这个时间间隔,需要重新考虑数据备份和恢复策略,以确保数据的完整性和可用性。

2.AD中SID history是什么,以及其作用是什么?

在AD(Active Directory)中,SID(Security Identifier)History是一个属性,它与用户账户的访问权限和身份验证相关。

每个用户在AD中都有一个关联的安全标识符(SID),这个SID用于跟踪安全主体控制用户连接资源时的访问权限。当用户账户发生更改,例如在域迁移过程中,SID也会相应地改变。

在域迁移过程中,如果用户的SID发生了改变,系统会将原来的SID添加到迁移后用户的SID History属性中。这个属性的作用是保持域用户的访问权限。因为如果迁移后用户的SID值改变,会导致用户无法访问以前可以访问的资源。通过将原来的SID添加到SID History属性中,可以使迁移后的用户保持原有权限,能够访问其原来可以访问的资源。

以上信息仅供参考,可以查阅与SID History相关的专业书籍或者咨询AD管理员获取更全面更准确的信息。

3.FSMO有几个角色以及每个角色的功能? 如何使用PowerShell迁移?

FSMO(Flexible Single Master Operations)有5个角色,包括架构主机(Schema Master)、域命名主机(Domain Naming Master)、基础架构主机(Infrastructure Master)、相对标识符(RID)主机和PDC模拟器(PDC Emulator)。

架构主机负责维护活动目录架构,包括定义和修改目录架构。域命名主机负责域的创建和删除,以及域名的解析。基础架构主机负责维护域成员关系,包括添加、删除和修改对象。RID主机负责分配RID,即分配给每个新创建的用户的唯一标识符。PDC模拟器是PDC操作的主机,负责处理所有与身份验证相关的请求。

使用PowerShell迁移FSMO角色的步骤如下:

查看当前FSMO角色信息:使用Get-ADForest或Get-ADDomain命令,可以查看当前林范围或域范围的FSMO角色信息。也可以使用netdom query fsmo来查询当前FSMO角色位于哪些服务器上:

Microsoft 技术专家常见问题_UDP

选择新的FSMO角色拥有者:选择一个新的服务器来拥有FSMO角色。

执行FSMO角色迁移:使用Move-ADDirectoryServerOperationMasterRole命令,将FSMO角色从原来的服务器迁移到新的服务器上。需要指定FSMO角色的类型,以及新的FSMO角色的拥有者。

例如,要将架构主机迁移到新的服务器上,可以执行以下命令:

Move-ADDirectoryServerOperationMasterRole -Identity newserver -OperationMasterRole SchemaMaster


4.FRS与DFSR的功能与区别是什么?

FRS(File Replication Service)和DFSR(Distributed File System Replication)都是用于文件复制的服务,但它们的功能和特点有所不同。

FRS是早期的一种文件复制服务,它主要用于在文件服务器之间同步文件。然而,FRS在可伸缩性和效率方面可能存在一些问题。

DFS-R是一种更强大的多主机文件复制服务,它在文件服务器同步的可伸缩性和效率方面都大大优于FRS。DFS-R可以用于将分支机构的数据复制到其他分支机构和中央服务器,其中任何一台中央服务器都可在分支机构服务器失效时充当备份源。此外,DFS-R支持在数据库丢失或遭破坏的情况下自动执行恢复,还支持复制计划和带宽调节。在数据压缩方面,DFS-R采用了一种称为RDC的新式压缩算法。

总的来说,DFS-R在功能和性能上相较于FRS有了很大的提升,更适合于大规模、高效率的文件复制场景。

5.什么是NTLM和Kerberos,以及它们间最主要区别是什么?

NTLM和Kerberos是两种在网络中使用的身份验证协议。

NTLM (New Technology LAN Manager)是Microsoft专有的身份验证协议,基于对称密钥加密技术,需要资源服务器为用户提供身份验证、完整性和机密性。NTLM不支持双因子身份验证(2FA),被广泛使用在早期的Windows版本中,如Windows 95、Windows 98和Windows ME中,NTLM是默认的身份验证协议。

Kerberos是一种基于票证的认证系统,用于在登录系统时对用户信息进行身份验证。它基于对称密钥加密技术,并且依赖于可靠的第三方,在身份验证阶段使用私有密钥加密。Kerberos开发了不同版本以增强身份验证的安全性,通常在Microsoft产品(例如Windows 2000,Windows XP和更高版本的Windows)中实现。Kerberos取代NTLM作为Windows 2000和后续Active Directory中的默认认证协议。

NTLM和Kerberos的主要区别在于它们的安全性和可扩展性。Kerberos提供了更强的安全性,因为它使用私钥加密,并依赖于可靠的第三方进行认证,而NTLM仅支持单点登录,且不支持双因子身份验证。此外,Kerberos通常在Microsoft产品中实现,而NTLM是Microsoft专有的协议。

6.Lastlogon 和 LastLogonTimestamp 最主要区别是什么?

LastLogon和LastLogonTimestamp都是用于记录用户登录时间的属性,但它们之间存在一些主要的区别。

LastLogon是记录用户最后一次在该域控制器上进行认证的时间。然而,这个属性并不会在域控制器之间进行复制,所以如果需要确定用户最后一次登录域的时间,必须在所有域控制器上查看LastLogon,取其中最大的那个值即为用户的最后一次登录时间。此外,LastLogon只记录交互式登录和Kerberos验证的用户。

LastLogonTimestamp则是一个可以复制到其他域控制器的属性,因此管理员只需从一个域控制器上就能获取到用户上次登录的信息。这个属性会记录所有交互式登录、Kerberos和NTLM验证的用户。它可以根据一个更新间隔来更新(注意:要启用这个属性,域功能级别必须是Windows Server 2003及以上版本)。因此,LastLogonTimestamp能够反映出账号长时间没有登录的情况,同时减少了AD复制流量,减轻了网络负担。

总结来说,LastLogon和LastLogonTimestamp的主要区别在于:LastLogon是特定域控制器的登录时间,不会在域控制器之间复制,而LastLogonTimestamp是可以在域控制器之间复制的属性,能够反映出账号长时间没有登录的情况。

7.ADCS是什么,企业内部部署的最佳实践是什么?

ADCS(Active Directory Certificate Services)是企业中重要的安全服务,它提供了一个集中的框架来管理、颁发和审计数字证书。这些数字证书用于在网络中建立信任,从而确保数据的安全性和完整性。

关于ADCS在企业内部部署的最佳实践,以下是一些建议:

  1. 规划和管理:首先,需要制定详细的规划和管理策略,包括确定所需的证书类型、颁发和管理的最佳实践以及安全审计的策略。
  2. 角色分离:确保ADCS服务器上的角色分离,以减少潜在的安全风险。例如,颁发证书的服务器不应同时负责管理用户账户。
  3. 安全的网络环境:ADCS服务器应部署在安全的环境中,例如在DMZ区域中,并使用防火墙来限制对服务器的访问。
  4. 使用强密码和多因素身份验证:为ADCS服务器使用强密码,并启用多因素身份验证,以提高安全性。
  5. 备份和恢复策略:制定详细的备份和恢复策略,以防止数据丢失或设备故障。
  6. 监控和日志记录:通过监控ADCS的性能和活动,以及记录日志,可以及时发现并解决潜在的安全问题。
  7. 定期更新和维护:定期更新ADCS服务器和相关软件,以修复任何已知的漏洞。此外,定期进行系统维护,以确保服务器的稳定性和性能。
  8. 培训和意识提升:为员工提供有关ADCS的培训,并提高他们对网络安全的认识。此外,定期进行安全意识提升活动,以保持员工对网络安全的警觉性。
  9. 灾难恢复计划:制定灾难恢复计划,以应对自然灾害或其他重大事件导致ADCS服务中断的情况。
  10. 合规性检查:确保ADCS的部署符合相关的法规和标准要求。

以上建议仅供参考,实际部署中还需根据企业的具体情况进行调整和完善。

8.DC服务器最常用的端口有哪些,其功能是什么? 加域计算机与DC服务器间需要开放的防火墙端口有哪些?
1)与AD DS相关的端口有:

135--TCP--RPC Endpoint Mapper

88--TCP&UDP--Kerberos

389--TCP&UDP---LDAP

636--TCP&UDP---LDAPS (LDAP over SSL)

3268--TCP---LDAP GC (LDAP Global Catalog)

3269--TCP---LDAPS GC (LDAP Global Catalog over SSL)

445--TCP---SMB (Microsoft CIFS)

53--TCP&UDP---DNS

123--UDP---NTP(Network Time Protocol)

137--UDP----NetBIOS Name Service

138--UDP---NetBIOS Datagram Service

139--TCP---NetBIOS Session Service

两台DC之间AD DS数据库数据复制,默认是使用动态RPC端口:

其范围是49152~65535之间。


2)要将客户端计算机加入域时要用到的端口为:

445--TCP---SMB (Microsoft CIFS)

88--TCP&UDP--Kerberos

53--TCP&UDP---DNS

389--TCP&UDP---LDAP

137--UDP----NetBIOS Name Service

138--UDP---NetBIOS Datagram Service

139--TCP---NetBIOS Session Service

3)计算机登录用到的端口:

445--TCP---SMB (Microsoft CIFS)

88--TCP&UDP--Kerberos

53--TCP&UDP---DNS

389--TCP&UDP---LDAP

4)建立域信任时用到的商品:

445--TCP---SMB (Microsoft CIFS)

88--TCP&UDP--Kerberos

53--TCP&UDP---DNS

389--TCP&UDP---LDAP

636--TCP&UDP---LDAPS (LDAP over SSL)

5)验证域信任时用到的端口:

445--TCP---SMB (Microsoft CIFS)

88--TCP&UDP--Kerberos

53--TCP&UDP---DNS

389--TCP&UDP---LDAP

137--UDP----NetBIOS Name Service

138-----NetBIOS Datagram Service

139--TCP---NetBIOS Session Service

9.如何备份与还原DC? 权威恢复与非权威恢复间的区别?

1)备份DC:

安装备份工具(Windows Server Backup):

Install-WindowsFeature Windows-Server-Backup

备份DC服务器的系统状态:

wbadmin start systemstatebackup -backuptarget:\\HK-DC01\software\DC_Bak

2)还原DC:

在系统状态备份完成后,若AD DS数据损坏,可以通过执行“非授权还原(nonauthoritative restore)” 来修复 AD DS。如果系统无法启动,就无法执行非授权还原,而必须执行完整服务器还原。

进入目录服务修复模式(Directory Services Restore Mode,DSRM):

bcdedit /set {bootmgr} displaybootmenu Yes

重启服务器,进入Windows 启动管理界面,按F8.

在高级启动选项,选择“目录修复模式”

执行“非授权还原(nonauthoritative restore)”:

使用系统管理员来登录系统(.\Administrator)

打开“开始”--“Windows 管理工具”--"Windows Server Backup",

点击左侧的"本地备份"----“还原”:

也可以通过wbadmin命令来恢复:

wbadmin get versions -backuptarget:\\HK-DC01\software\DC_bak

记下要恢复的备份版本,执行:

wbadmin start systemstaterecovery -version:11/07/2023-12:36 -backuptarget:\\HK-DC01\Software\DC_Bak -authsysvol


执行“授权还原”:

在DC上执行非授权还害的后,不要重启服务器,就可以执行“授权还原”:

ntdsutil

activate instance ntds

authoritative restore

restore object cn=wendy,ou=ZH,ou=NB,DC=nipit,DC=cn

quit

quit


repadmin /syncall  hk-dc02.nipit.cn /e /d /A /P

/e--表示所有站点内的DC

/d--表示以distinguished name (DN) 来识别服务器

/A--表示同步此DC内的所有目录分区

/P--表示同步方向为以此DC(hk-dc02)上的数据向其他DC同步。

在restore的时候,分为权威性及非权威性恢复2种,

一般我们做的都是非权威性恢复

所谓非权威性恢复是指将AD对象恢复到原先备份时的版本号,然后进入正常的AD中自动运行.

权威性恢复是指做完非权威性恢复后,将AD对象的版本号提高,以使它成为最高最权威的,其它DC以它为准来进行复制.


10.WSUS需要哪些定期维护才能维持正常服务?

为了确保WSUS(Windows Server Update Services)的正常服务,需要进行以下定期维护:

  1. 数据库维护:WSUS数据库在服务器上存储了大量数据,包括更新、计算机、报告和状态信息。定期对数据库进行清理、备份和优化,可以确保数据库的完整性和稳定性。
  2. 更新管理:WSUS负责管理和分发更新,因此需要定期检查和清理过期的更新。管理员应该定期运行WSUS清理向导,删除不需要的更新和旧的计算机数据,以避免占用存储空间和降低服务器性能。
  3. 报告分析:WSUS提供了详细的报告功能,可以帮助管理员了解WSUS服务器的状态和更新分发情况。定期分析这些报告可以帮助管理员及时发现和解决问题,并优化WSUS的性能。
  4. 安全更新:WSUS服务器应该及时应用安全更新,以确保服务器的安全性和稳定性。管理员应该定期检查安全更新并安装到WSUS服务器上。
  5. 服务器监控:定期监控WSUS服务器的状态和性能可以帮助管理员及时发现和解决问题。管理员可以使用系统工具和第三方工具来监控WSUS服务器的CPU使用率、内存使用情况、磁盘空间等指标。
  6. 备份策略:定期备份WSUS数据库和相关文件可以帮助管理员在发生故障时快速恢复数据。建议使用可靠的备份工具,并制定详细的备份策略,包括备份频率、备份位置和备份保留策略等。
  7. 网络连接检查:定期检查WSUS服务器与客户端计算机之间的网络连接是否正常,以确保更新分发和报告传输的可靠性。
  8. 权限管理:确保具有适当权限的用户才能访问WSUS服务器和数据库。管理员应该设置合适的权限策略,并定期审查权限分配情况,以确保只有授权用户才能访问敏感数据和配置信息。
  9. 硬件和软件更新:定期检查硬件和软件的兼容性和更新情况,以确保WSUS服务器的正常运行。如果需要升级或更换硬件组件,请先进行备份并测试新硬件的兼容性。
  10. 用户支持和培训:定期为用户提供支持和培训,帮助他们正确配置和使用WSUS客户端,并了解如何利用WSUS报告和通知功能来管理更新和安全策略。

通过执行以上维护任务,可以确保WSUS服务器的正常工作和稳定性,并提高更新的分发效率和管理能力。



标签:UDP,常见问题,--,专家,TCP,DC,---,服务器,Microsoft
From: https://blog.51cto.com/ganzy/8231484

相关文章

  • 调用gpu/cuda常见问题
    调用gpu/cuda常见问题1、cudaoutofmemory1)先查询nvidia-smi确保gpu未占用2)调用.cuda()方法前,确保你的系统中有可用的GPU,并且已经安装了适当的GPU驱动和CUDA工具包。否则,将会引发错误。3)使用这种方法可以正常使用util是glm3源码中带有#model=AutoModel.from_pre......
  • win 11安装 microsoft store
    找了很久的教程,最简洁的方法:管理员权限打开powershell,执行命令wsreset-iReferences:https://www.elevenforum.com/t/reinstall-microsoft-store-app-in-windows-10-and-windows-11.11428/https://www.zhihu.com/question/481403207......
  • Microsoft 365 开发:AI builder是如何与 Power Apps集成可以让使用 AI 变得容易
    Blog链接:https://blog.51cto.com/13969817AIBuilder是一项MicrosoftPowerPlatform功能,无需任何定制开发或者coding,就可可提供专门用于优化您的业务流程的AI模型。说明:AI中的部分功能尚未发布,仍旧处于预览状态。MicrosoftPowerPlatform包括5个主要组件,用于不同的用途,不同......
  • 9月份 《程序员修炼之道——从小工到专家》读后感2
    第二章注重实效的途径1重复的危害系统中的每一项知识都必须是单一、无歧义、权威的表示;DRY-Dontrepeatyourself不要重复你自己;重复如何发生    强加的重复        信息的多种表示        代码中的文档;把注释保留给其他的高级说明 ......
  • 9月份 《程序员修炼之道——从小工到专家》读后感1
    第一章注重实效的哲学1我的源码让猫给吃了在所有的弱点中,最大的弱点就是害怕暴露弱点;同意为某个结果负责,就应切实负起责任;不要抱怨,总是把问题归咎于别人;辩解听起来很愚蠢,说话之前先将借口清除,谈话之前自己先预演一遍;提供选择,而不是找借口,不要说做不到,而是能够做什么挽回局面;2软......
  • C7N 常见问题
    1.跨组件的数据传递推荐用什么方式推荐使用mobx2.LOV的字段值怎么获取constlovDataSet=awaitStores.LovCodeStore.getLovDataSet('LOV_CODE');import{queryIdpValue}from'services/api';constlist=awaitqueryIdpValue(fLovCode);3.Lov组件默认值复显4.在T......
  • Jmeter分布式测试的注意事项和常见问题
    Jmeter分布式测试的注意事项和常见问题Jmeter是一款开源的性能测试工具,使用Jmeter进行分布式测试时,也需要注意一些细节和问题,否则可能会影响测试结果的准确性和可靠性。Jmeter分布式测试时需要特别注意的几个方面1.参数化文件的位置和内容如果使用csv文件进行参数化,即通过......
  • 音视频常见问题(七):首开慢
    本文主要讨论音视频应用中的首开慢问题,文章介绍了首开慢的产生原因:DNS解析耗时、网络传输协议耗时、传输网络调度耗时,并提供了排查方式和解决方案。即构科技的ExpressSDK和MSDN网络可以有效的解决首开慢问题,且节省开发成本。一、前言对于音视频开发者来说,掌握排查问题的技术技巧方......
  • 音视频常见问题(七):首开慢
    摘要本文主要讨论音视频应用中的首开慢问题,文章介绍了首开慢的产生原因:DNS解析耗时、网络传输协议耗时、传输网络调度耗时,并提供了排查方式和解决方案。即构科技的ExpressSDK和MSDN网络可以有效的解决首开慢问题,且节省开发成本。一、前言对于音视频开发者来说,掌握排查问题的技......
  • NU1102 找不到版本为(=5.0.0-dev)的包 Microsoft.NETCore.App.Host.win-x64
    异常: 原因:.NetCore3.0之后的版本,默认情况下项目在生成时,会自动生成与运行时版本相同的可执行文件(exe<Windows下>),它是需要对应版本的一个dotnet-apphost-pack包支持。  解决方法:1.下载安装dotnet-apphost-pack包 2.禁用生成可执行文件,只要.dll文件在项目文件.csp......