by Eddie
26. February 2015 10:51
DNS是在網域中一個很重要的角色,萬一掛掉的話會有很多的服務因此中斷服務。
所以大多數的環境都會做一個Secordary Zone來作為複寫以及預備的DNS
剛好最近幫公司的一台DNS做了同樣的設定,下面就來分享一下設定的過程
1. 首先請到要被複寫的DNS上選擇要抄寫的網域,在上面使用滑鼠右鍵選擇「內容」。
2. 在區域轉送的頁簽中,確認有將「允許區域轉送」選項勾選,
並選擇「只到下列伺服器」之後,點選「編輯」。
3. 在紅色方框中輸入要轉送資料的伺服器IP,並選擇「確定」設定完成。
4. 到要進行抄寫的伺服器上,開啟DNS服務,
在伺服器名稱上使用滑鼠右鍵選擇「新增區域」。
5. 選擇「次要區域」,之後選擇下一步。
6. 選擇「正向對應區域」,之後選擇下一步。
7. 在區域名稱中輸入要抄寫的Domain名稱,注意名稱一定要相同。
11. 輸入要抄寫的伺服器IP,確定可以正確解析到後選擇下一步並完成設定。
12. 在服務中將「DNS Server」這個Services重新啟動。
13. 之後再新的DNS上即可看到抄寫回來的資料
by Eddie
31. December 2014 11:23
這幾天在安裝測試機時,
有一個需求是要設定WinRM讓公司的同仁可以遠端下PowerShell來操作電腦,
本來看了微軟的Technet設定方式覺得很簡單,應該很快就可以設定完成,
不過後面才發現其實還有不少的設定是Technet沒有提到的,
所以這邊就來分享給大家整個的設定流程。
1. 在要設定WinRM的Server中,開啟本機群組原則管理員。
2. 展開電腦設定→系統管理範本→Windows 元件
→Windows 遠端管理(WinRM)→WinRM Service。
3. 選擇其中的「Allow Automatic Configuration of listeners」
4. 勾選「Enabled」並在下面的IPv4 Filter以及IPv6 Filter的欄位中,
輸入允許傳送指令的IP,輸入完成後點選「OK」完成設定。
5. 接下來開啟Windows Firewall With Advanced Security
→Inbound Rules→滑鼠右鍵選擇New Rules。
6. 在 Rule Type中,點選「Predefined」並在下方的下拉式選單中,
選擇「Remote Event Log Management」。
7. 點選「Next」之後,在Predefined Rules的畫面中確認三個防火牆規則都有被勾選起來後,
按下「Next」完成設定
8. 開啟Server Manager在 Server Summary點選「Configure Server Manager Remote Management」
9. 勾選「Enable remote management of this Sever from other computers」之後點選「OK」。
10. 檢查下列的8條防火牆規則是否都開啟。
Remote Service Management (NP-In)
Remote Service Management (RPC)
Remote Service Management (RPC-EPMAP)
Remote Event Log Management (NP-In)
Remote Event Log Management (RPC)
Remote Event Log Management (RPC-EPMAP)
Windows Firewall Remote Management (RPC)
Windows Firewall Remote Management (RPC-EPMAP)
11. 開啟PowerShell(建議以系統管理員身分執行),
並輸入「Set-ExecutionPolicy -ExecutionPolicy RemoteSigned」之後輸入Y完成設定。
12. 之後在輸入「Configure-SMRemoting.ps1 -force –enable」
會顯示此台機器已準備好使用WinRM。
上述的流程就是在Technet上的設定方式,真正要完成設定還需要做下列步驟。
13. 在PowerShell中輸入「Enable-PSRemoting –Force」。
14. 再輸入「Set-Item wsman:\localhost\client\trustedhosts *」
並在下面的權限設定中選擇Y來完成設定。
15. 最後輸入「Restart-Service WinRM」來重新啟動WinRM的服務。
16. 可以再其他電腦上開啟PowerShell,
輸入「Enter-PSSession -ComputerName COMPUTER -Credential USER」來測試。
參考文章
1. Remote Management with Server Manager
2. Enable and configure Windows PowerShell Remoting using Group Policy
3. PowerShell - Remote Setting
by Eddie
26. December 2014 12:01
備份一定是每個IT人員都會遇到的工作,
以Windows Server所內建的Windows Backup而言功能真的很陽春,
預設所保留的備份檔案只會有一個並且只能做完整備份,
雖然還是有做備份但是總覺得有些不足。
最近公司有一台Server有要設定備份的工作,並且有提供了一套軟體來進行備份的工作
這套軟體的名稱為「ShadowProtect」,
使用上並沒有繁複的設定流程也有中文的介面可以使用,
所以整體上的設定並不困難,以下就來分享我設定的一些步驟。
1. 安裝過程就不多敘述,要注意的是安裝完成後要重新啟動電腦才能使用備份功能,
安裝並開啟ShadowProtect後,請先設定「目的地」這邊是指備份檔案所要存放的位置
2. 選擇「新增」後,在底下的「目的地路徑」輸入所要儲存的檔案位置
以及相關的帳號密碼資訊後,按下「確定」。
3. 成功後就可以在「目的地」的頁面中看到所��定好的路徑。
4. 之後點選「備份作業」的頁面並選擇「新增」來設定備份工作。
5. 在「欲指定的磁碟區」中勾選所要備份的硬碟磁區,並點「下一步」。
6. 確認所要備份的磁碟與儲存的位置正確後,點選「下一步」。
7. 在「指定備份排程」中,可以設定完整備份與差異備份的時間,
在下方的差異備份設定上建議可以設定從上午的12:00一直到下午的11:59分,
備份之間的分鐘數設定為1440分鐘,這樣就可以設定成每天做一次差異備份的設定,
完成後選擇「下一步」。
8. 在「選項」中可以設定備份檔案是否需要密碼,或者是將備份檔案分割為特定大小,
如果都沒有這樣的需求就直接點選「下一步」。
9. 最後按下「完成」即可。
參考文章:
ShadowProtect 使用手冊
ShadowProtect-Server-Backup
by stevie
22. December 2014 18:52
近期有使用Mac的使用者要連到NAS分享出來的共用資料夾的需求
因此簡略的寫了下設定的方式
一、首先先選擇上方工作列裡的[前往]選項
二、選擇[連接伺服器]選項
三、輸入分享共用資料夾的伺服端IP位置並按下[連接]
四、此時會跳出驗證視窗,輸入正確的登入資訊後即可進行連線
五、正確連結後會顯示該私服端分享的共用資料夾
六、按下[好]之後即可直接開啟該共用資料夾
七、另外我們可以從伺服端來確認檔案的一致性
根據上述方式即可連結到Windows或者是NAS上分享共用資料夾
參考資料:Mac OS X:如何連線到 Windows 檔案共用資源 (SMB)
by Eddie
12. December 2014 11:39
Remote Desktop Service這個微軟所提供的服務,是我有建置過的LAB中少數從來沒有完成過的環境,
其原因是因為在這個服務的中後設定階段需要一組向微軟所購買的CAL序號,才能完成整個設定。
很幸運的最近有客戶有這樣子的需求,而且客戶也很信任我們,
將所購買的序號資訊提供給我們,因此今天要來分享,
在Server 2012 上如何設定RDS服務,並且檢查設定與授權有正確的發出。
1. 首先請開啟伺服器管理員並點選「新增角色與功能」,
在選擇「角色」的頁面中勾選「遠端桌面服務」之後點選下一步。
2. 並在角色服務選取的頁面上,
將「遠端桌面工作階段主機」以及「遠端桌面授權」的選項勾選,並點選「下一步」。
3. 安裝完成之後會重新開機,登入Server之後請使用Windows 鍵+R叫出「執行」輸入gpedit.msc。
4. 在群組原則管理員中的電腦設定→系統管理範本→Windows 元件
→遠端桌面服務→遠端桌面工作階段主機→授權底下有兩個GPO規則需要設定
5. 「使用指定的遠端桌面授權伺服器」
先勾選「已啟用」並在下方的欄位中輸入提供RDS服務的Sever名稱,
完成之後點選「確定」。
6. 「設定遠端桌面授權模式」的設定中,一樣先勾選「已啟用」
並將下方的授權模式設定改為「每位使用者」後選擇確定。
這裡要說明的是,選擇每個使用者或者每個裝置都要看公司的抉擇,
選擇每位使用者的話就會以Domain User的帳號為登入帳號,可以在不同的電腦上登入,
而選擇每個裝置的話就會限制只有特定的電腦可登入。
7. 完成之後可以在伺服器管理員右上方的「工具」中看到 Terminal Services的選項,
展開後選擇「遠端桌面授權管理員」
8. 開啟後在下方可以看到目前所提供服務的Server名稱,
在上方使用滑鼠右鍵選擇「啟用伺服器」
9. 完成之後一樣使用滑鼠右鍵,選擇「安裝授權」,
在授權方案的頁面中需要輸入跟微軟所購買的授權代碼,
輸入完畢點下一步之後會再求輸入一些相關的帳號資訊。
10. 完成設定後RDS服務就可以使用RDS的服務,
而如果想知道目前授權的狀態的話也可以從第7點的步驟中,
選擇「遠端桌面授權診斷程式」,可以看到目前服務的健康狀態,可用的授權數量。
by Eddie
28. November 2014 12:50
在Windows Server的環境底下,常遇到客戶希望幫他們設定一些群組原則
來讓限制或管理公司的使用者去做一些事情,最常遇到的就是關於密碼原則的設定,
大多數都是希望密碼可以不要過期,字數可以短一點,也不要開啟複雜性原則等。
不過密碼原則的設定在網路上應該有許多前輩有分享過如何設定就不多敘述,
今天所要分享的是在工作上遇到的兩個覺得蠻實用的群組原則,
一個是如何鎖定Windows 內建小遊戲,
另一個是使用者閒置多久時間會會自動啟用螢幕保護程式。
第一個封鎖內建小遊戲的群組原則可能有人會說,
都甚麼時代了沒人會玩接龍跟彈珠檯了拉,
不過這個封鎖的方式也適用於鎖定內部限制的應用程式,
例如影音撥放程式或者通訊軟體之類的。
設定方式如下
1.在Windows 7可以找到小遊戲的路徑,位置為下:C磁碟→Program Files→Microsoft Games(XP路徑不同)
2.開啟管理GPO的伺服器,開啟群組原則管理,對預設網域原則進行編輯。
3.在電腦設定→原則→Windows 設定→軟體限制原則,
預設沒有啟用請利用滑鼠右鍵新增。
4.在其他原則中使用滑鼠郵件新稱一個路徑原則。
5.設定C磁碟→Program Files→Microsoft Games為不允許
之後確定後進行Gpupdate,之後電腦登入登出後進會如同下圖一樣被限制
另一個閒置一段時間後使用螢幕保護程式並鎖定電腦的GPO也是一個常用的群組原則,
畢竟人是健忘的,就算告知使用這離開座位就要鎖定電腦或登出,
但是大多數的使用者都會忘記這件事情。
設定的方式請參考下列說明:
1. 開啟群組原則管理編輯器後,
可以在使用者設定→原則→系統管理範本→控制台→個人化
中找到所要設定的群組原則,一共有五條原則要設定。
(1). 啟用螢幕保護裝置
(2). 以密碼保護螢幕保護裝置
(3). 螢幕保護裝置逾時
(4). 防止變更螢幕保護裝置
(5). 強制特定螢幕保護裝置
其中的「啟用螢幕保護裝置」、「以密碼保護螢幕保護裝置」
以及「防止變更螢幕保護裝置」只要啟用就好,但是其他兩個就要設定相關的參數
「螢幕保護裝置逾時」這個設定會詢問閒置的秒數多久後進入螢幕保護裝置,
而設定的條件是「啟用螢幕保護裝置」的GPO要啟用,不能為零秒
而「強制特定螢幕保護裝置」是指使用特定的螢幕保護裝置,
檔案可以在Windows\System底下找到*.scr的檔案,或者是自製螢幕保護裝的應用程式。
套用路徑後就可以指定特定的螢幕保護裝置。
by stevie
25. November 2014 08:54
有時候發現安裝作業系統的磁碟區空間不足的時候,我們會開始尋找那些檔案佔走大多數的資源
會發現有些空間被看不見的檔案佔用掉
其中一種的情況是安裝作業系統時自動產生系統分頁檔佔走一部分 (隨記憶體大小不同占用的檔案大小也不同)
首先我們必須先打開資料夾選項中的[顯示隱藏檔案功能]
否則無法看到隱藏的系統檔(如下圖)
進入[資料夾選項]打開[顯示隱藏的檔案、資料夾及磁碟機]以及關閉[隱藏保護的作業系統檔案]的功能
即可檢視下列的 pagefile.sys的檔案
在可以看到pagefile.sys檔案後請依照下列兩個步驟進入調整該檔案的設定位置
1.打開[控制台]>[系統及安全性]>[系統]
2.打開進階系統設定
進入[進階系統設定]後選擇效能設定如下圖
在效能選項後,點選在[虛擬記憶體]的[變更]選項
這裡可見虛擬記憶體的[目前配置]大約21GB,與前面看到的pagefile.sys檔案大小相同
因此我們可以在這裡根據官方的最佳化設定,或者根據自己狀況來作調整
這裡示範將pagefile.sys檔案大小最小值調整為記憶體的1倍、最大值為1.5倍
調整完畢按確定,完成請記得"重開機"設定值才會生效
參考資料:
what-is-the-page-file-for-anyway
如何在 Windows XP 中設定效能選項
如何判斷 64 位元版本 Windows 的適當的分頁檔大小
Best Practices for Page File and Minimum Drive Size for OS Partition on Windows Servers
by stevie
17. November 2014 18:27
之前設定Windows server 2008R2 的 Hyper-V時 比較常架設作業系統時間較相近的OS
(如:Server 2008R2、Windows 7、Server2012、Win8等等...)
不過在一次架設Windows XP的Client測試環境發現VM無法擷取滑鼠的問題
雖然可以用鍵盤操作,但是一些操作仍然是用滑鼠作業比較方便
下列是發生的狀況以及排除方式
1.安裝作業系統時會出現"遠端桌面工作階段中位擷取滑鼠"
2.我們可以在Hyper-V的"虛擬機器連線"的視窗中找到[動作(A)] > [插入整合服務安裝光碟]
3.系統會開始進行服務安裝並且找到滑鼠的硬體如下圖的右下角所示
4.後續就能正常的在VM中使用滑鼠進行作業
注意:Windows XP 已在 2014 年 4 月 8 日終止支援請盡早升級您的作業系統至Widnow7以上的版本!!!
參考資料:
VMM裡面的 VM 無法擷取滑鼠
by stevie
27. October 2014 18:58
我們可以透過權限設置及隱藏公用資料夾的方式來限制使用者存取共用資料夾的行為
確認項目
一、防火牆規則 (確認提供共用資料夾的主機是否已經開啟防火牆規則)
二、本機網路位置(這裡的分享共用資料夾的主機測試IP為192.168.2.79)
共用資料夾權限檢查
一、共用資料夾預設是Everyone有”讀取”權限
二、NTFS的設定僅本機管理員、使用者、系統及已驗證的使用者有權限
從其他主機連線至共用資料夾
一、本機建立共用資料夾連線的使用者
二、 輸入連線帳密後從其他電腦檢視共用連線
三、 從前面的預設值是”Everyone”有”讀取”權限因此無法進行任何新增/刪除
在本機調整共用資料夾權限 一般建議將Everyone 讀取的權限移除掉,僅提供需要連線的使用者可以連入,增加安全性並且符合需求;這裡執行上述的操作並賦予使用者”User01”有變更的權限
四、 此時在遠端電腦連線到共用資料夾時,即可建立新的資料夾 (可以作變更)
隱藏共用資料夾
一、一般設定隱藏是修改檔案或資料夾屬性中勾選 “隱藏” 這個屬性能,這裡Share資料夾會變成半透明(隱藏狀態)
二、 我們從遠端的電腦連線來看共用資料夾是正常顯示的,表示此方式對共用資料夾並沒有直接隱藏的效果
三、 這裡我們從本機點選共用資料的”內容”修改共用資料夾的共用名稱變更為”Share$”
四、 修改完成如下圖所示
五、 我們再從其他主機連線到分享共用資料夾的主機來看,會發現沒有共用資料夾的存在
六、 若我們在路徑上輸入剛剛我們賦予的完整路徑後,即可重新看見該共用資料夾
前面敘述的方式可以用來賦予不同的使用者擁有不同權限以及用特殊方式來避免非必須連線使用者來檢視共用資料夾,這裡提供一些基本的方法作參考
若能靈活運用可以達到許多不同的需求
參考資料:管理共用資料夾的使用權限
by stevie
20. October 2014 19:30
設定介面可以從Hyper-V管理員叫出”虛擬交換器管理員”的介面
點入之後可建立的虛擬交換器主要有三個類型(後續會再介紹)
1、外部
2、內部
3、私人
一、 外部虛擬交換器(可讓選擇此網路的VM對外連線,如同實體機一般) 圖解概念如下: 備註:只要實體網路線正常運作,即使Host網卡關閉VM一樣可以連線
二、內部虛擬交換器(選擇此網路的VM僅能對本機以及選擇相同網路的VM連線) 圖解概念如下:
三、私人虛擬交換器 (選擇此網路的VM僅能對選擇相同網路的VM連線,實體機要與該VM連線必須透過”Hyper-V管理員”工具來做管理) 圖解概念如下:
主要設定概念如上所述
使用虛擬化時設定網路環境也是相當重要的一環!!
參考資料:Hyper-V網路虛擬化概觀