[系統管理]Windows Update 錯誤訊息80072EE2

因公司三台Windows主機原本是從Windows Update上下載更新，但最近更改了內部WSUS後就出現80072EE2的錯誤訊息，如下圖

猜測可能原本在微軟的Windows Update上看到的Patch更新，但尚未下載到本機端，就改成內部的WSUS Server，而內部的WSUS Server並沒有這隻Patch，所以導致更新失敗。

解決方式如下：

1. Stop BITS(Background Intelligent Transfer Service) 及 wuauserv(Windows Update)
   
   
   
   
   
2. Remove OR Rename Software Distr (C:\Windows\SoftwareDistribution)
3. Remove SUS ID
   
   REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
   

   

   
   
4. Flush DNS/Register
5. Start BITS(Background Intelligent Transfer Service) 及 wuauserv(Windows Update)
6. wuauclt /resetauthorization /detectnow

批次檔

@echo off 
Echo Save the batch file "AU_Clean_SID.cmd". This batch file will do the following: 
Echo 1.    Stops the wuauserv service 
Echo 2.    Deletes the AccountDomainSid registry key (if it exists) 
Echo 3.    Deletes the PingID registry key (if it exists) 
Echo 4.    Deletes the SusClientId registry key (if it exists) 
Echo 5.    Restarts the wuauserv service 
Echo 6.    Resets the Authorization Cookie 
Pause 
@echo on 
net stop wuauserv 
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f 
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f 
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv 
wuauclt /resetauthorization /detectnow
Pause 

Read More

[系統管理]Windows網域控制站DC在沒有正常降級(dcpromo)就格式化硬碟的處理程序

之前在很多的論壇裡看到很多人在問Active Directory的問題，比如找不到另一台域控制站，或是Active Directory資料庫複寫不成功等…..其實很多問題是在DC沒有正常降級(dcpromo)就format(格式化)硬碟，等電腦重灌完，升級DC後再取同樣的名稱上線，才會產生那麼多的問題，以下就是使用ntdsutil的處理程序。需要使用ntdsutil工具來刪除Active Directory資料庫的物件。

setp1.在Windows的【開始】【執行】打cmd 進入【命令提示字元】

setp2.輸入ntdsutil按Enter

setp3.輸入Metadata cleanup 按Enter(根據所給出的選項，管理者可以執行刪除操作，但因為還要選擇出問題的伺服器，所以必須在設定一些參數。)

setp4.輸入Connections按Enter(這是要先連結有問題伺服器的網域，連結網域必須要有管理者權限，如果沒有請輸入 set creds 網域使用者名稱跟密碼，然後按ENTER。如果密碼為空，則為密碼參數鍵入null。)

setp5.輸入Connect to domain mcg.com(改成你的網域名稱)按Enter後會出現正確連線到網域的訊息。

備註：如果嘗試連接的伺服器正是要刪除的伺服器，那麼在嘗試刪除步驟 15 提到的伺服器時，將顯示以下錯誤消息：

錯誤 2094。不能刪除 DSA 對象。0×2094

setp6.輸入quit指令跳回到Metadata Cleanup 選單。

setp7.輸入Select operation target (來選取站台、伺服器、網域、角色和命名內容)

setp8.輸入List domains (列出所有含有交互參照的網域)

setp9.輸入Select domain 0(編號) 其中編號是連結網域的編號，看要刪除的伺服器在哪個網域底下就選哪一台。

setp10.輸入List sites

setp11.輸入Select site 0(編號)其中編號是連結站台的編號，看要刪除的伺服器在哪個站台底下就選哪一台。

setp12.輸入List servers for domain in site

setp13.輸入Select server 1(編號) 其中編號是你要刪除的伺服器編號。

setp14.輸入quit指令跳回到Metadata Cleanup 選單。

setp15.輸入Remove selected server

會出現下列訊息，按是以後就會開始刪除資料了。

如果您收到下列錯誤訊息，即表示由於其他系統管理員在執行 DCPROMO 公用程式之後移除了「NTDS 設定」物件，或者在執行 DCPROMO 工具成功刪除該物件後又執行了一次此操作。

錯誤 8419 (0x20E3)找不到 DSA 物件

注意 當您嘗試繫結至即將被移除的網域控制站時，可能也會看到這個錯誤。Ntdsutil 不可繫結至中繼資料清除公用程式即將移除的網域控制站。

setp16.在每個功能表輸入 quit，然後按下 ENTER 以結束 Ntdsutil 公用程式。您應該會收到成功中斷連線的確認訊息。

setp17.移除 DNS 中 _msdcs.root domain of forest 區域的 cname 記錄。假設 DC 即將重新安裝並重新升級，以新的 GUID 與相符的 DNS cname 記錄建立新的「NTDS 設定」物件。您不希望現有的 DC 使用舊的 cname 記錄。

最好的做法是，刪除主機名稱與其他 DNS 記錄。如果已經超過指定給離線伺服器使用之「動態主機設定通訊協定」(DHCP) 位址上保留的最少時間，另一個用戶端就可以取得問題 DC 的 IP 位址。

setp18.在 DNS 主控台中，使用 DNS MMC 刪除 DNS 中的 A 記錄。A 記錄又稱主機記錄。如果要刪除 A 記錄，請用滑鼠右鍵按一下 A 記錄，然後按一下 [刪除]。另外，也請刪除 _msdcs 容器中的 cname 記錄。如果要執行這項操作，請展開 [_msdcs] 容器，用滑鼠右鍵按一下 [cname]，然後按一下 [刪除]。

重要 如果這是 DNS 伺服器，請在 [名稱伺服器] 索引標籤下移除此 DC 的參照。如果要執行這項操作，請在 DNS 主控台中的 [正向對應區域] 下按一下網域名稱，然後從 [名稱伺服器] 索引標籤中移除此伺服器。

注意 如果您有反向對應區域，也請從這些區域中移除伺服器。

setp19.如果刪除的電腦是子網域中最後一個網域控制站，而子網域也已經刪除，請使用 ADSIEdit 刪除子網域的 trustDomain 物件。如果要執行這項操作，請依照下列步驟執行：

1. 按一下 [開始]，按一下 [執行]，輸入 adsiedit.msc，然後按一下 [確定]。
2. 展開 [網域 NC] 容器。
3. 展開 [DC=Your Domain, DC=COM, PRI, LOCAL, NET]。
4. 展開 [CN=System]。
5. 用滑鼠右鍵按一下 [信任網域] 物件，然後按一下 [刪除]。

setp20.使用「Active Directory 站台及服務」移除網域控制站。如果要執行這項操作，請依照下列步驟執行：

1. 啟動「Active Directory 站台及服務」。
2. 展開 [站台]。
3. 展開伺服器的站台。預設的站台為 Default-First-Site-Name。
4. 展開 [伺服器]。
5. 用滑鼠右鍵按一下網域控制站，然後按一下 [刪除]。

Read More

讓分散式檔案系統(DFS)通過防火牆設定

分散式檔案系統（DFS, Distributed File System）是用來集中管理分散於網路各處的共用資料夾，可以讓使用者覺得分散在多台伺服器上的檔案，就好像存放在網路上的同一個位置。使用者不必要知道欲存取檔案的實際位置，或在網路上的芳鄰中逐一尋找各伺服器之共用資料夾，就可以有效率的存取分享資料。

　

簡單地說，DFS 將網路上共用資料夾重新組織，構成一個新的樹狀邏輯架構（共用資料夾的實體位置未改變）。

但DFS Replication在做複製時，是採RPC的動態Port的方式，所以如果兩台Server 都有開啟或需要經過防火牆的狀況下，會出現無法複製的問題。可以在Server的事件檢視器裡面找到下面的錯誤訊息(錯誤:1753 終點對應表中無更多可用的終點)事件ID:5002。

我們可以經由 dfsrdiag.exe 這支程式，來讓DFS Replication使用固定的靜態Port。在DC裡開啟「命令提示字元」，下達

C:\> dfsrdiag staticRPC /port:6666 /Member:DC1

C:\> dfsrdiag staticRPC /port:6666 /Member:Server1

讓DC1及Server1都使用固定的TCP Port 6666。您可以使用下列指令來觀察

C:\>dfsrdiag DumpMachineCfg

有需要時，可以到Administrative Tools(管理工具)中的Services(服務)，找到DFS Replication，把它重新啟動一次。然後在DC1放一個檔案到 C:\office\ 中，再到Server1使用封包捕捉程式捉取封包來觀察，會發現整個複製行為，會使用TCP port 6666來進行。

如此一來，您便可以在防火牆上，設定允許封包通過TCP port 6666即可。

Read More

[資訊安全]Windows AD提升安全性-網路芳鄰及遠端存取限制

駭客一但入侵單位內某一部主機後，通常就會利用Windows網路芳鄰特性入侵其它主機，而常用的帳號不外乎是本機管理員帳號或網域管理員帳號，因為這些帳號權限最大，因此適當限制管理員帳號活動之範圍為抑制內網感染之必要手段。

"Administrators"群組成員已經包含了所有管理員帳號，如"Administrator"、"Domain Admins"與"Enterprise Admins"，因此只要能限制"Administrators"群組就等同於限制所有管理員帳號。

群組原則修改

可經由群組原則對單位內主機派送規則，該範例以AD為例，若要套用於使用者電腦請選擇對應之群組。

Active Directory使用者及電腦 -> Domain Controllers-> 滑鼠右鍵 -> 內容。

群組原則-> Default Domain Controllers Policy -> 編輯。

電腦設定-> Windows設定 -> 安全性設定 ->  本機原則 -> 使用者權利指派。

將Administrators加入拒絕從網路存取這台電腦中。

這裡說明一下這個原則只要Administrators這個群組，是透過網路存取的方式，一律會被這台AD Server給拒絕掉，包含UNC存取、驗證或將新的機器加入網域。

所以Windows AD 系統管理者應該具備如同管理 Linux 主機時同樣的作業系統安全性觀念，也就是要先建立一般使用者帳號來登入系統進行操作，待需要執行的動作需要提升至管理者權限時，才著手轉換將權限提升。

於命令提示字元CMD中執行兩次gpupdate /force使得修改之群組原則馬上生效。

佈署考量(重要)

設定後Administrators將無法經由網路存取AD，是否會造成某些系統無法正常運作則需要進行測試，通常遭到影響之系統為備份系統、資產管理系統與認證系統等。

除了拒絕從網路存取這台電腦外，還有拒絕以批次工作登入、拒絕以服務方式登入與 拒絕透過終端機服務登入等，同樣可以考量進行設定，但前提仍然是不影響正常服務運作。

實際測試存取

以上做法雖然較為安全，但一點點的安全換來系統管理者使用上有很大的不便，就要各為自己去衡量了，強烈建議實作前先備份，如果發生AD服務異常時，還可以將資料倒回，或是把剛剛設定GPO的值給還原，如還是有問題可以查看AD的本機群組原則是否也有被寫入。

Read More

[系統管理]如何自動登入Windows 作業系統

一般在Chris的工作環境中，我的電腦都會用密碼鎖住不讓別人開機進來亂用，不過如果在家裡你的電腦只有你一個人在用，或是老闆懶的每次開機後都還要先輸入密碼才可登入(時間就是金錢@@)。如果你希望讓電腦在一開機時自動幫你登入、直接進到桌面的話，那該怎麼做呢？

使用「登錄編輯程式」(Regedt32.exe) 啟用自動登入，請依照下列步驟執行：

按一下 [開始]，然後按一下 [執行]。在 [開啟] 方塊中，輸入 Regedt32.exe，然後按下 ENTER。

在登錄中找出下列子機碼：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

按兩下 [DefaultUserName] 項目，輸入您的使用者名稱，然後按一下 [確定]。

按兩下 [DefaultPassword] 項目，輸入您的密碼，然後按一下 [確定]。注意：如果 DefaultPassword 值不存在，您必須新增該值。如果要新增這個值，請依照下列步驟執行：

在 [編輯] 功能表上，按一下 [新增]，然後指向 [字串值]。

輸入 DefaultPassword，然後按 ENTER。

按兩下 [DefaultPassword]。

在 [編輯字串] 對話方塊中，輸入您的密碼，然後按一下 [確定]。

注意：如果沒有指定 DefaultPassword 字串，Windows 就會自動將 AutoAdminLogon 機碼的值從 1 (True) 變更為 0 (False)，以停用 AutoAdminLogon 功能。

在 [編輯] 功能表上，按一下 [新增]，然後指向 [字串值]。

輸入 AutoAdminLogon，然後按 ENTER。

按兩下 [AutoAdminLogon]。

在 [編輯字串] 對話方塊中，輸入 1，然後按一下 [確定]。

結束 [登錄編輯程式]。

按一下 [開始]，按一下 [關機]，然後在 [註解] 文字方塊中輸入原因。

按一下 [確定] 以關閉您的電腦。

重新啟動您的電腦。現在，您已經可以自動登入。

注意：如果要略過 AutoAdminLogon 程序，並以不同的使用者身份登入，請在登出或 Windows 重新啟動之後，按住 SHIFT 鍵。

重要：雖然自動登入功能很方便，但是，這個功能可能會帶來安全性風險。如果您設定一部電腦為自動登入，任何能夠實際接觸該電腦的人員就可以存取其中所有的內容，包括了任何網路或電腦所連接的網路。此外，啟用自動登入時，密碼會以純文字的方式儲存在登錄中。Authenticated Users 群組可以遠端讀取儲存這個值的特定登錄機碼。只有在電腦放置在安全的位置，並且您已經採取適當的步驟，確保不受信任的使用者無法從遠端存取登錄的情況下，才建議使用這個設定。

Read More

[資訊安全]如何避免或破解Netcut網路剪刀手(ARP Spoofing)造成的斷線情形

要破解使用Netcut造成的斷線問題，必須先了解Netcut的運作原理。由於Netcut使用的是ARP spoofing封包造成目標主機ARP table記錄錯誤來達成斷線目的，因此必須先由ARP協議開始說明。

在乙太網路上僅僅知道某台主機的IP address，並不能立即將封包傳送過去，必須先查明該主機的實體位址(Physical address / MAC address)才能真正發送出去，而ARP協議的功用就是在於將IP address轉換成實體位址。

網路上每一台主機都有一個ARP table，此table中記錄了最近一段時間裡其它IP address及其MAC address的對應關係。如果本機想跟某一台主機通信，則會先在ARP table中查尋對應目的主機IP address的MAC address，如果該對應記錄存在，則直接將目的主機的MAC address填入Data Link層的封包表頭中，然後將封包發送出去；如果該對應記錄不存在，則會向本網段廣播一個ARP請求封包，當目的主機聽見該請求封包後，會將本身的 MAC address填入封包並用廣播方式回送出去，本機收到此回應封包後，就會將相關訊息記錄在ARP table中，然後將目的主機的MAC address填入Data Link層的封包表頭裡。

由於ARP請求封包發送端只管接收回應訊息，卻無法分辨訊息的真偽，因此第三方主機只要建構一個ARP spoofing封包，就可以造成請求端的ARP table資訊錯誤。由於MAC address不正確，所以封包就再也無法傳送到目的主機上，這就是Netcut造成連線中斷的原因。

舉例來說，裝有Netcut的A主機向受害B主機發送假的ARP訊息，使得B主機上ARP table中對應到閘道器IP address的MAC address，更新成錯誤的MAC address。由於B主機上網必須透過閘道器傳送，閘道器的MAC address資訊錯誤，當然會造成B主機的封包再也無法傳送到閘道器上，原本建立好的連線也會因為timeout而導致斷線的情形發生。

知道Netcut的運作原理了，可是要怎樣才能預防或解決被Netcut斷線的問題呢？其實只要下達一個小小的指令就可以對Netcut完全免疫了~~方法很簡單，由於Netcut的工作原理是透過假造ARP封包，造成你主機上的ARP table記錄到錯誤的閘道器MAC address，藉此讓你的主機跟目地主機間的往來封包發生中斷，所以你只要將正確的對應位址設定成static記錄就可以避免狀況發生。

設定指令如下：

arp -s 閘道器IP address 閘道器MAC address

舉例來說，假設閘道器的IP address是192.168.88.254，打開命令提示字元，執行ping 192.168.88.254，只要ping得通就可以得到正確的閘道器MAC address。這時執行 arp -a 就可以查出192.168.88.254的對應MAC address(就是Physical Address)。例如192.168.88.254的MAC address是00-90-cc-4f-db-18，那麼只要執行 arp -s 192.168.88.254 00-90-cc-4f-db-18 就搞定了。

假如你的主機已經被斷線，這時該怎麼辦呢？很簡單，你只要借用同網段的其他主機查詢閘道器的MAC address，然後用上述方法將正確的對應資訊加入到你的主機上就行了。

注意：如果主機的閘道器IP address改變，MAC address通常也會跟著變動，這時只要下達 arp -d 就可以將原先設定的ARP table對應資訊清除掉。

網智數位-軟體開發（軟件開發） 
針對各特殊產業都可以量身定做符合貴公司的需求，別人無法克服的就是我們的挑戰  
業務合作、軟體委外開發  
業務窗口：allen@netqna.com  
聯繫電話：0920-883-870  
skype： netqna  
line：netqna  
微信：netqna  
黃先生 Allen

Read More