稽核原則 v.s. 進階稽核原則

by Joseph Wu 20. September 2012 11:18
在 Windows Server 2008 R2  的稽核功能中,新增了「進階稽核」,此功能將原來的稽核功能劃分的更細,舉例而言,以前如果要針對某個資料夾進行檔案稽核時,必須開啟稽核物件存取的原則,相信使用過這個原則的 IT 人都知道,如此會造成 event logs 爆炸性的成長,事際上我們只需要稽核檔案的存取而已。終於,在 2008 R2 的版本中,我們看到了改善。 使用進階稽核之前,必須要注意,進階稽核與一般稽核共用時會造成稽核失敗的狀況,即你有設定,但不會生效。我個人的建議是,IT 的設定越單純化越好,只設定進階稽核即可。 如下圖 1. 所示,透過 rsop.msc (原則結果組) 可以發現,有設定一般的稽核原則,但是如果同時也設定了進階稽核原則,就會看到如下圖 2. 的結果,明明圖1. 的一般稽核的圖示有亮起來,但是圖 2. 卻寫上沒有稽核,實際上測試時,也會發生並無生效。 圖1. 圖2.                                                 圖3. 如果不幸發生上述問題,其實解決方法也很簡單,如下: (1) 將 \\<dc>\SYSVOL\<your domain name>\  目錄下的所有 audit.csv 刪除 (2) 將 GPO 中的進階稽核原則設定移除即可 (3) 重新套用 gpupdate /force   如果考慮使用進階稽核的朋友,可參考下述說明 在使用進階稽核原則時,務必開啟 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 啟用以覆寫稽核原則類別設定] 原則設定。 設定完成後,在 Local Security Policy 的管理介面中,可能看不到進階稽核原則的套用狀況,建議使用 auditpol.exe /get /category:* 來查詢生效的狀況。 最後,如果之前本機安全性原則有設定進階稽核原則,取消後造成 domain GPO 設定套用有問題時,可將原來的稽核設定清除,再重套用 GPO 即可。 1、auditpol.exe /clear 2、gpupdate /force   參考文獻: http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx

Tags:

Windows Server

遠端管理 Windows Server 2003

by Joseph Wu 16. December 2011 14:22
最近因為要多部署一台 Windows Server 2003 , 所以 SCOM 想當然也要部署 Agent 給它,以便於我們管理,但在自動部署 Agent 時,一直發生問題,如下圖: 看到這個訊息我的直覺是防火牆要開,我將 RPC 用的幾個 Port (135~139) 都打開了之後,還是不行。接著我就上 google 找文件啦,下面 2 份文件有解決我的問題,大家可以點連結進去看。 Agent 和 Agentless 如何部署 說明如何設定開放遠端伺服器管理   關鍵是,在 Windows Server 2003 的設定上,要於群組原則中多開放設定 紅色框中的 2 個原則要啟用,並且打上遠端 Windows Server 2003 的電腦的 IP 才行。 另外,這也解決了我好一陣子都解不出來的問題。 使用 PowerShell 時,我常會下查詢硬碟容量大小的指令,可是無奈 Windows Server 2003 始終不回應我,錯誤提示也是和 RPC 有關(當時我也一直是認為我明明 port 就有開,可怎麼還無法查詢到)。 最後,我納悶的是,明明都是加入 domain 的 server ,為什麼 Windows Server 2008 以上版本的就不需要多打開這條 GPO ,而 Windows Server 2003 就需要多設定 ?     雖然我暫時還想不到,不過至少得到了解決方法……..

Tags: , ,

SCOM | Windows Server

PowerShell 遠端操控 server -2

by Joseph Wu 13. October 2011 19:13
繼上一篇 PowerShell  遠端操控 server,我又在嘗試於 Workgroup + Domain 的環境下,該如何使用遠端操作。 在說明設定之前,我想提及一個重要的觀念,也就是遠端操控到底是如何運作的 ? 這是我之前上蘇建榮老師的課所得知的知識,分享如下: 一、遠端管理 這是第一種方式,也是傳統的方式,使用 RPC 來進行。 ex:  Get-WMIObject Win32_LogicalDisk –ComputerName <ServerName>   二、遠端執行 建議使用的方式,是透過 WinRM 服務進行。 其實原理就是,將命令傳給另一個 server 來執行。 ex: Invoke-Command ……. 那我們該如何設定呢 ? 本篇先說明一種最簡單快速的方式 → 安裝 Server 完畢後,將 Administrator 設定同樣的密碼,就可以立即使用 。 (結束) 有沒有覺得很無言………….。雖說簡單,但是我們必須知道為什麼可以這麼做。 原因有二: (1) RPC 服務一定是被開啟的  (2) 防火牆預設是有針對 RPC 服務開啟的 被選擇的防火牆規則,即是可以使用遠端操控的關鍵之一,我們點右鍵按內容來看詳細資訊,即發現此規則,即為上一篇所提及的,是開啟 RPC 動態連接埠 + svhost.exe 這支程式。 不過這有個小細節要注意,就是這招只能使用在 administrator 的帳戶之下,就連加入 administrators 群組的帳戶一樣無法使用,如下圖:   如果要使用不同帳戶的話,必須增加 2 個設定:(可參考 Remote WMI to a Workgroup Server 2008 R2 這篇文章) 1、開啟遠端使用 com 元件 (1)      (2)      (3)      2、 WMI Control 的安全性設定 (1) (2) (3)   我設定完之後,測試無誤。但發現, powershell 的回應速度有變慢。    另外,如果是 Domain 、 WorkGroup 混用的環境中,也是同樣可以使用的,只要帳號密碼一樣、防火牆設定正確,即可使用。                

Tags: ,

Windows Server

防火牆規則 - 網域設定與本機設定的注意事項

by Joseph Wu 5. October 2011 10:45
加入網域後的伺服器,會套用 GPO 的原則,當然也包括防火牆的規則,但是這邊有個小細節要分享 如果我要設定讓 3389 只能允許網域中的使用者連接,於 GPO 設定該規則後,就結束了 ?   我一開始是這麼想的,但實際上發現,在防火牆規則中,會多開出一條規則,而我的操作步驟如下: 1、設定 GPO ,新增一條防火牆規則 2、在本機開啟遠端桌面連線設定   如果是按照上述的操作步驟,那麼接下來被套用 GPO 的伺服器上,會看到如下圖的防火牆規則   很不幸的, Windows 防火牆規則不同於一般的硬體式防火牆邏輯(由上而下的比對邏輯,ex: 最後一筆如有限制 3389 使用,則會採取限制行動)。根據我的測試,Windows 會採取全部承認的機制,即允許 3389 通過設定檔為 「網域」、「全部」的,這樣一來就糟了,如果伺服器有開啟對外的 IP 連線,那使用 Internet 即可連上伺服器,實在是太危險了。 所以請切記,在開啟遠端桌面連線後,務必修正防火牆設定,即便你有設定 GPO

Tags: , ,

Windows Server

PowerShell 遠端操控 server

by Joseph Wu 4. October 2011 16:19
最近在嘗試使用 PowerShell 遠端操控 server ,有些心得分享如下: 1、在非 domain 的環境下 (WORKGROUP) , 除了開啟防火牆外,還需要憑證 2、在 domain 的環境下,防火牆開啟 「RPC 動態對應連接埠」 or 「svhost.exe」即可   我的所有電腦都是加入 domain 的環境 另外,有時候我覺得納悶,為何有時候我防火牆什麼都沒設定,我的 PowerShell 竟然就能遠端操作 server 了,為何呢?                 其實阿,有些服務安裝完畢之後,就會連帶開啟相關的防火牆設定,而剛好該設定是 PowerShell 可以共用的,所以才會讓我誤認為在 Domain 中使用 PowerShell 是不用任何設定的。舉例來說,當我們安裝了 NLB (網路負載平衡)  的功能之後,會開啟的其中 1 個防火牆規則,如下圖: 我們點內容深入觀察,可以發現,該規則開啟了 svhost.exe 的程式且開放所有 port ,如下圖: 除此之外,大家還可以嘗試自行打開 RPC 動態對應連接埠,如下圖: 如此一來,PowerShell 就可以遠端來操控 server 了。

Tags: ,

Windows Server

效能監視器 - 使用基本的計數器

by Joseph Wu 8. September 2011 20:06
監視的範疇不外乎:CPU、Memory、Disk 在尚未了解如何使用計數器(counter)前,可參考下述文章 http://technet.microsoft.com/en-us/library/cc768048.aspx   接著,讓我們來談談,如何做基本的即時監視: 相信大家一定都對 Task Manager 非常熟悉了。在基本即時監控所要加入的計數器,我們可以使用和 Task Manager 一樣的。 1、CPU         下圖所指定的計數器,顯示出的結果就如同 Task Manager 中的 CPU Usage                  Processor / %Processor Time / Total ( 也可針對單一核心進行監控,我這邊使用全部的) 2、Memory            這邊所顯示的,是記憶體的剩餘容量大小。                       Memory / Available MBytes 3、Disk            在設定前,可以先參考下面連結的文章,有說明 Disk Time 和 Disk Queue 使用的時機            http://msdn.microsoft.com/en-us/library/ms175903.aspx            在 Disk 的計數器中,區分為 Physical & Logical 。 意思是實體的硬碟和硬碟分割區                          Physical Disk / Disk Time        4、Network Interface        監控網路時,可選擇網卡、輸入/出的流量。               Network Interface / Bytes Total 

Tags: , ,

Windows Server

HP DL120G6 與 SQL Server 2008

by Joseph Wu 19. August 2011 17:37
這次的疑點是 HP 1U 的伺服器,不知道各位系統工程師先進們是們也有遭遇過同樣問題? 軟硬體: HP DL120G6 Windows Server 2008 R2、SQL Server 2008 操作過程: 這邊比較要說明的是,我們是使用 HP 的 Easy Set-up CD (這片 CD 有個好處,在安裝 OS 前會安裝一系列需要的工具,比如說: drivers, HP 的管理硬體程式)。   於 HP 的 Easy Set-up CD 安裝光碟片中,除了安裝完此台 Server 需要的相關工具之外,也把 Windows Server 2008 R2  安裝過程中的設定一併做掉 (ex: 分割硬碟) ,也就是說放進 Windows Server 2008 R2 的光碟之後,無需在做任何設定。 發生問題: 完成 Windows Server 2008 R2 安裝後,進行 SQL Server 2008 的安裝,安裝過程中,發生如下面截圖的錯誤: 解決方法: 當下看到此錯誤的我,直覺的會點選”失敗”的連結,接著找 kb 文章來看是哪個部份需要進行設定與修正,看完文章也修正完畢後,發現問題並沒辦法解決。 後來,詢問硬體廠商之後,才知道原來他們的客戶也有類似的問題, HP 的 Easy Set-up CD 安裝過程中似乎發生了些許錯誤。 所以我們按照傳統的安裝方式,先灌完 Windows Server 2008 R2 ,接著在安裝 drivers,最後再安裝 SQL Server 2008 時就不會產生此問題了。   所以,有些硬體的設定,真的是需要經驗值的累積阿~

Tags: , , ,

Windows Server

檔案稽核

by Joseph Wu 2. August 2011 17:57
不知道大家是否有和我一樣的錯誤經驗。 狀況說明:  設定檔案稽核之後,為何於安全性的事件中,依然無法查詢出檔案系統的稽核?? 解決方式: (1)  設定安全性原則 (這是比較容易乎略的部份)                       如果沒加入 AD 設定 “本機安全性原則設定” ,而 加入 AD  的話於 GPO 中設定即可          這方面可參考我之前寫的文章          http://joseph.miniasp.com/post/2011/03/28/本機稽核.aspx          http://joseph.miniasp.com/post/2011/03/28/網域稽核.aspx          另外,和我的文章不同的是,是設定稽核物件存取,如下圖:          (2)  設定檔案稽核         這個步驟相信大家已經熟悉。比較建議的是使用群組為單位進行稽核,如此在設定與管理上會較為方便。 (3)  檢查事件檢視器會發現類別是 “檔案系統” 的相關事件。另外還有我建立的檔案名稱。       

Tags: , ,

Windows Server

HyperV 刪除快照集的注意事項

by Joseph Wu 2. June 2011 18:44
發生經過: 1、將a、b的快照集刪除 2、將 a 關機時,開始合併磁碟的作業,但發現儲存空間不足,導致另一台vm也跟著暫停 3、將 b 按下儲存,結果導致 b 也開始進行合併 4、將磁碟空間清出 5、a 和 b 的合併程序就停住了 ( OS: 因為對於合併磁碟的過程不是完全了解,當下感覺是 a、b 這 2 個虛擬硬碟應該都會掛掉……)   後來我選擇重開機 1、將 a、b 開啟,依然可以正常啟動 2、當我將 a  關機時, a 又開始進行磁碟合併   所以,學到了一些經驗: 1、首先,在確定要刪除快照集進行合併磁碟時,一定要確保磁碟剩餘空間 >  正在進行磁碟合併的VM的總容量,這樣進行合併時才是最保險的。 2、再來,即使用合併無法正確執行時,VM 依舊可以重新啟動並執行。 3、假設只有一個 snapshot ,於合併的過程中,會不斷的吃掉硬碟空間(感覺是將合併後的檔案暫存),接著於虛擬硬碟的預設資料夾中會新增page.file的暫存檔。 4、剛開始合併時會跑得相當慢,合併需要cpu 計算以及硬碟的空間。 當暫存檔合併完畢時,會將此暫存檔寫回最初的 vhd 檔。 (我的經驗是跳到60幾%的時候,後面幾乎一下子就好了)

Tags: , ,

Windows Server

SMB 筆記

by Joseph Wu 27. May 2011 15:33
這篇文章單純記錄一些我的操作經驗。 加入網域後的電腦,無論是否有在 wf.msc 的 inbound rules 中開啟 SMB 功能,皆可在網域中使用 \\<Servername>\… 如下圖: 如果要封鎖以 SMB 的方式來分享資料,只需開啟防火牆,選擇 inbound rules,再針對 SMB 的規則封鎖即可,如下圖:   我自己納悶的一點是,為何在沒啟用 SMB 規則的狀態下,竟然還是可以透過 \\<servername>\ 的方式來取得伺服器上的資料 (順帶一提,我的3個 profiles 的輸入連線都是設定封鎖)?

Tags:

Windows Server

關於我們

這裡是由一群熟悉 Microsoft IT 技術的工程師所共同分享技術文章的部落格,除了定期分享工作上的技術經驗,我們也提供專業的技術顧問諮詢服務,有任何疑難雜症都歡迎與我們聯絡!

  • 陳冠龍(Owen)
  • 02-2322-2480 # 33
  • 陳昌賢(Mars)
  • 02-2322-2480 # 16
  • 有任何的建議或問題,請來信 ithelp-azure@miniasp.com

※ 學習資源:
    2016/3/9 - 你所不知道的 Microsoft Azure 雲端採購技巧
    (講者:多奇數位技術總監 - Will 保哥)

最新消息

企業上雲端會是未來趨勢

微軟主打 2 種公有雲平台

Office 365 & Azure

有興趣皆可來電 or E-Mail 詢問

Calendar

<<  December 2018  >>
MoTuWeThFrSaSu
262728293012
3456789
10111213141516
17181920212223
24252627282930
31123456

View posts in large calendar