情境： 我是使用Windows Server 2008 R2 ， 這兩天突然無法使用 RDC 進行遠端連線 ! 自我檢查： 1、有在防火牆上開啟 3389 的 port 2、服務有開啟  3、使用 netstat –a 檢查所有埠號時，發現 3389 port 並無呈現 Listening 的狀態 解決方案 (感謝 Will 保哥 熱情協助) 開始解決問題之前，我們必須知道啟動 RDC 的程序名稱；接著，知道如何找尋 RDC 所使用的埠號。 1、如何檢查 RDC 的程序名稱        (1)開啟服務，開啟 RDC 的服務               (2)如下圖，我們得知了 RDC 的程序名稱       2、如何檢查該 svchost.exe –k termsvcs 的使用埠號        (1)透過 sysinternals ，我們使用 ctrl + f 並鍵入 termsvcs 進行搜尋               (2)進入內容的視窗後，我們點選TCP/IP的頁籤即可發現啟動埠號。我之前無法連線是 因為埠號被修正為 55555        3、如何使用 regedit 來修正 port (1)透過 ctrl + f 在 regedit 中詢找 PortNumber (2)修正下列2個PortNumber HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\Wds\rdpwd\Tds\tcp HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp   ( 文獻參考 http://support.microsoft.com/kb/306759/zh-tw#FixItForMeAlways，該文件是支援 Windows XP ，所以 Regedit.exe 上的路徑會有些許不同。)

隨著資安議題越來越火熱，各式防火牆應用也紛紛受到討論，不外乎一般硬體的防火牆(最常見，擋在企業最外層)，WAF(Web Application Firewall，因應網頁服務被駭客入侵嚴重)，本機的軟體防火牆……等。 防火牆雖然好用，但在使用上務必先了解後再套用至企業架構內，否則網路出問題時，會花費很多時間來找問題點，我自己就發生了一件，在此分享給大家。 最近正好在新安裝OS，也順道安裝了市售的防毒軟體，系統正式上線後卻發現，為什麼網頁無法開啟、遠端桌面連線也連不上了?  我也沒有修正硬體防火牆的設定、WAF也沒有。我將問題切開為2個部份： (1)網頁無法開啟 (2)遠端桌面無法連線 我嘗試先從遠端桌面下手，我以為是系統的問題，也就是新舊系統的遠端桌面連線軟體並不相容(mstsc.exe)，但後來發現根本不是原因所在，…….，正當困頓之際，突然想到，我的防毒軟體有PF(personally firewall)，趕緊將其關閉，上述2個問題才又恢復正常。 由於資訊安全的多變化，使得相關的資安保護產品越來越複雜，以後購買的資安防護軟體要好好的注意它所提供的功能，否則系統、網路不能work，真的是會讓你勞心又勞力。

上一篇「本機稽核」中，說明了一些基本的設定方式。而本篇，將本機延伸至網域，做更大範圍的稽核。但我們要知道，這觀念是大同小異的。 首先，在DC上，要注意本機稽核是無法使用的，它已經整合至網域稽核中了。打開Group Policy Management後，會發現和本機稽核一樣的設定，如下圖： 有沒有很熟悉，Audit Policy和Advanced Audit Policy Configuration其實都是由本機安全性設定移轉過來，而右邊panel的Audit logon events，則是上一篇所敘述的設定。 稽核的事件，也將統一存放至DC的事件檢視器中。

今天研究的本機稽核設定，在此分享給大家。 首先，是本機稽核，有使用過AD 的朋友一定不陌生Group Policy Mangement，在本機設定時，是使用 Local Security Policy，啟動稽核原則。在檢視部份，和網域機稽核一樣，是使用event viewer的工具進行的。設定如下： 1、按開啟→系統管理工具→本機安全性原則      2、在左邊的panel中點選Local Policies →Audit Policy ；接著在右邊的panel中，點選Audit logon events。(在此範例中是針對失敗的登入進行稽核)      3、接著我們先核意登入失敗，然後再打開event logs檢查，果然發現了event id=4625的稽核。      4、打開內容後，我們可以檢查一些詳細資訊，比方說，是使用什麼帳號登入錯誤，在什麼時間，使用什麼ip位址……等。      5、皆著我們重複2~4步驟，但這次，我們使用比較進階的稽核原則。(ex: 此範例是使用帳戶管理。如下：      (1)按下圖點選至正確位置           (2)按下 ctrl + alt + delete，點選修改密碼，接著我們刻意讓修改密碼失敗。打開event viewer，即可發現稽核事件。           (3)一樣在此可以檢查錯誤的詳細資訊。        稽核方式千變萬化，端看SA是想要知道什麼樣的訊息，或者是利用稽核來做安全性控管、釣魚……等等。

今天遇到了一個很鳥的問題，和大家分享。 事情是這樣的，因為我今天一直沒辦法連結到 iSCSI target 上的虛擬硬碟，我檢查了一下原來是服務沒開。所以在準備手動開啟之際，竟然給我出現如下圖的錯誤，interface unknown 看起來像是網路介面吧，檢查了老半天明明就沒問題，接著又檢查了權限、服務相依性……等。還是找不出來，上網爬文，有人說是Windows Event Logs 這個服務沒有啟動，我趕緊去查證，果然沒開，啟動 Windows Event Logs 後，接著再啟動 iSCSI 就成功了。 這到底是什麼邏輯，我真的被搞糊塗了。總之，以後大家碰到此問題，先去看看 Windows Event Logs 服務有無關閉吧。

昨天去客戶那上課後，除了自己的講授外，也學到了許多新的觀念，分享給大家。 大家一定都知道 Windows Server Backup 單次備份的操作步驟，但是知道每一個步驟所代表的意思嗎? 我截取幾個我學到的新觀念做說明： 在選取存取控制這個 panel 中，有不要繼承和繼承兩種選項。所謂繼承，其實指的是分享資料夾設定上的權限設定繼承，選擇繼承後，備份下來的檔案會和存放的路徑擁有同樣設定的權限；而不要繼承，代表需要設定一組帳戶，使用此帳戶來直接存取備份檔，不繼承分享資料夾上的設定了。 點選不要繼承後，會出現輸入帳密的畫面。 VSS copy backup(recommended) v.s. VSS full bakcup 為什麼第一個選項是建議值呢，因為市面上很多備份軟體，如果選擇第一項，Windows Server Backup 在備份時，不會影響到其它的備份軟體的運作。但，是如何影響的? 我們再來看第二張圖，當備份結束後，我們選擇檔案 or 資料夾的內容 → 進階，接著會看到 File is ready for archiving 的屬性，此屬性代表我們是否有將該檔案備份起來，當 Windows Server Backup 備份完畢後，此選項會被取消，當使用者再更動檔案內容時，此屬性會被自動勾選。 所以其它的備份軟體會參照這個屬性來解決是否需要對該檔案進行備份。 好了，說得落落長，結論是，如果選擇了 VSS copy backup 的備份方式，則不會去改變 File is ready for archiving 的屬性，讓其它備份軟體也可以針對所有的檔案進行備份，不會少備份了任何檔案。   分享到這邊，希望對大家有所幫助。

雖然現行 PC 的規格越來越好，會發生問題的機會也很低，但是如果是確認以前的配備是否可玩HyperV 的各位，這篇文章就要注意一下了。 首先，幾個注意事項如下： 1、一定是要 64 位元的 CPU 才支援HyperV 2、BIOS 一定要有支援 VM 的技術 3、CPU 要有支援的的技術 大家不妨去下載securable (http://www.grc.com/securable.htm )，它是一個 freeware 用來檢查系統是否符合執行虛擬環境。   最後，我自己在跑的 VM 的硬體環境分享給大家，不用花太多的錢即可測試 VM。

一般來說，基本操作想要限制使用者時(ex: 讓a使用者可以備份伺服器)，只要加入windows 內建的群組即可，但hyper-v 我找了找，好像沒有相關的內建群組可以加入。所以在這邊分享一篇要控制hyper-v 權限的方法，請各位享用。 1、使用 Authorization Manager (azman.msc)，在搜尋的方格中鍵入 azman.msc   2、在MMC工具中，在Authorization Manager 的節點是按右鍵並點選 Open Authorization Store…   3、開啟之後，點選XML file 的 選項 ，並在文字方塊內輸入%ProgramData%Microsoft\Windows\Hyper-V，接著開啟 InitialStore.xml 即可 (PS:因為此資料夾預設屬性是隱藏的，所以想要手動點入此資料夾，要在資料夾選項中開啟檢視隱藏的資料夾及檔案。)   到此，請大家回想一下我們平常再加入群組的時候，通常都有內建的群組可以選對吧，但如果我們想要的權限沒有內建群組怎麼辦。      我們必須手動定義一個出來。   4、當打開所有節點時，會發現和Local group and users 這個mmc 工具有點兒像。我們先來定義一個角色(暫時命名為 trainer)   5、在命稱欄位輸入 trainer，接著直接按下ok 鈕。 建立完畢後，角色中就會多了一個trainer 6、接著在Role Assignments 的節點上按右鍵點選New Role Assignment… 點選我們剛才建立的trainer 7、在trainer 上按右鍵點選Properties，接著依下圖示點一步步點選 在操作的頁籤中，我們先測試所有操作 ( 操作就是權限的概念了) 皆可使用。   設定大致上到這，希望對大家有幫助。

這陣子在有NLB(Network Load Balace)服務的機器上架設hyper-v，剛好有遇到此問題，所以寫出來和大家分享。(註：一般來說，如果只有一條網路線，接上switch，switch裡有接上外網router的線 + 內網電腦的線時，會需要使用到此技巧) 接下來以192.168.1.0 和192.168.2.0兩個網段進行範例，流程如下： 1、在IPv4的內容中點選「進階」 2、在IP位址中點選「新增」，接著輸入不同網段的IP與submask   3、在預設閘道點選新增，接著輸入另一個閘道位址(註：自動計量核取方魂的意思是路由順序的優先權，在此範例中勾選自動計量即可 剛開始我認為，如上述的設定完成後應該就大功告成了，可是作業系統沒有人這麼聰明，作業系統不會將192.168.1.x 的IP位址送給192.168.1.254 的閘道位址，另一個網段也一樣。所以，我們必須手動設定路由表(Route Table)。 4、打開cmd (命令提示字元)，輸入如下指令 route  add  –p  192.168.1.0  mask  255.255.255.0  192.168.1.254 route  add  –p  192.168.2.0  mask  255.255.255.0  192.168.2.254   5、最後，輸入如下指令，檢查剛才新增路由表 route  print   大致就是這樣囉。

之前接到一道命令，原來放置VM的實體機要重灌，所以我必須要找一台伺服器讓我的VM 可以轉移，而且原來要重灌的伺服器上的所有資料也都一併轉移至另一個新建的VM中。所以我在找不到合適的伺服器作為新的VM 擺放點之下，選擇了有架設NLB的機台上。(這是一連串錯誤的開始，當然也是因為我之前沒試過此種方法) 1、建立hyper-v 時所產生的問題 在有架設NLB功能上的SERVER通常要有2張網卡，一張是跑NLB服務所需要讓CLIENT端連結時的IP，一張是2台NLB之間互相要傳Heartbeat的。而hyper-v在虛擬網路管理中選擇後者網卡作為external 網路時，暫時不會對NLB產生影響；一旦選擇了跑NLB服務的IP時，NLB的服務就無法work了。 而我想，可能是hyper-v 設定時把NLB的設定給打亂了 (NLB除了本機IP之外，還需要設定一個NLB的IP)，但是虛擬網卡在建立時不會考慮此點。 當然碰到此問題讓我的NLB服務掛點，我當然是很著急的想把HYPER-V移除，重新讓NLB上線。   2、移除HYPER-V時會發生的問題 移除HYPER-V的 EXTERNAL 虛擬網路之後，讓我的NLB服務不僅無法看見另外一個節點，還讓我多增加了0.0.0.0 的NLB IP，我完全不知道這個IP是哪裡來的，即使刪除此NLB IP，NLB依然不work。   最後，將NLB服務重新架設，並向IDC更正NLB IP 對應 MAC 位址後，我的服務又可以正常運作了。這個經驗讓也分享給大家，以後別再把NLB 和 HYPER-V弄在同一台SERVER 上了...