以Windows 防火牆為例，在Windows XP 下有傳統的Windows 防火牆，而在Windows Vista及Windows 7下提供了更進階功能的Windows 防火牆。如果IT想要設定二條Policy，第一條policy是使用新的Windows Firewall policy，希望只套用在Windows Vista及Windows 7的作業系統，而另一條Policy設定傳統的Windows Firewall policy，只套用在Windows XP，可以參考以下的做法。

1.在DC 上，開啟GPMC，找到WMI篩選器。

2.右鍵點選「新增」，在名稱裏輸入您指定的名稱(例如Windows 7 /Vista)，再點選「新增」。

3.在下方的查詢裏，請直接貼入Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows 7%") OR (Caption Like "%Microsoft® Windows Vista%") 文字 ，再按下「確定」，再到步驟2的圖中，按下「儲存」。

4.重覆步驟2和3，新增一條For Windows XP的規則，其內容為Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows XP%")

5.在Group policy上，建立二條Policy，分別是針對舊的防火牆和新的防火牆做設定。假設這條Policy要套在Vista和Win7上，請在右下方的WMI篩選上以下拉選單選到剛剛步驟3產生的條件。同樣的，假設您的policy是要套在XP上，請選到for XP的條件。

如此，即使 OU下同時有不同版本的作業系統，即使這二條policy同時和此 OU產生連結，當Client電腦開機後，會依照WMI篩選器的條件，只套用符合規定的policy來套用。

問題徵狀：

使用 Group Policy裏的IE 維護原則設定信任網站後，您發現大部份的Client都套用成功，但是Windows 2003 的terminal server沒有生效。

問題分析：

1. 首先，先確認IE的Ehanced security configuration是否有被勾選，如果有的話，請在新增移除Windows 元件裏，將這個項目拿掉，再套用一次policy測試(預設在Windows 2003機器裏，該選項是勾選的)。
2. 如果關閉後，仍無法生效，請檢查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1機碼是否存在，如果存在的話，請刪除之，再套用一次，

補充說明：

1. 在Enable IE ESC時，它信任網站讀的機碼是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains 位置。
2. 當初在建立信任網站的Policy時，假設在DC上已經將IE ESC的功能關閉，因此套用下來時的機碼會寫在KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains下。如果用戶端有Enable IE ESC，就不會生效。
3. 因此要確認無法生效的機器上，IEESC是否有確定關閉，並且該機碼也確定被刪除；有些情況下，將該勾勾拿掉後，機碼仍沒有刪除成功，因此信任網站的設定仍沒有生效。

解決方法︰

解決方式是要將IEESC關閉後，並且確認在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ IEHarden=1裏的機碼被刪除。

1. 下載http://www.microsoft.com/downloads/details.aspx?familyid=d41b036c-e2e1-4960-99bb-9757f7e9e31b&displaylang=en

2. 將裏面的 InetESC.adm copy至該機器。

3. 執行本機群組原則，匯入此adm

4. 點到電腦設定>系統管理範本>IE Components> Internet Explorer> IEESC，將游標定位在上面

5. 點選MMC的檢視>篩選，將裏面的選項都拿掉

6. 完成後您將可看到下列設定項目並且可以進一步設定。

7. 將以下的文字存成一個bat檔，讓登入Terminal Server的user派送自動去執行的話，確定IEESC殘留的機碼被刪除成功。

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap" /v IEHarden /f

8. 只要上述的policy 生效，IEESC會被移除，信任網站即可以成功寫入Terminal Server上。

一般來講，如果沒有administrator權限的話，無法安裝網路印表機的驅動程式。您可以使用以下的方式來讓一般的使用者給予權限來安裝網路印表機。

1.開啟Group Policy 編輯器(gpedit.msc或是gpmc.msc)

2. 找到「電腦設定」>「系統管理範本」>「印表機」裏，將「指向並列印限制」改成已啟動

3.安裝新連線的驅動程式時」選擇「不顯示警告或提高權限提示」

4.更新現有連線的驅動程式時」選擇「不顯示警告或提高權限提示」

分析:

Windows XP  SP3 GPO refresh 機制有改變,在進行套用GPO 會將舊的資訊刪除,並產生備份檔案(tempntuser.pol),一但存取其他GPO 套用有問題, 就會rollback, 故此亦為您看到Gpresult 有套用,但是機碼還是舊的

Check userevn log:

USERENV(628.f30) 15:38:40:747 ParseRegistryFile: Entering with <\\contoso.com\SysVol\contoso.com\Policies\{63AF2C73-0180-4582-80FE-84B3870C1245}\Machine\registry.pol>.
USERENV(628.f30) 15:38:40:763 SetRegistryValue: Failed to open key <SYSTEM\CurrentControlSet\Services\USBSTOR> with 5     < 套用失敗

USERENV(628.f30) 15:38:40:778 ParseRegistryFile: Callback function returned false.
USERENV(628.f30) 15:38:40:794 ParseRegistryFile: Leaving.
USERENV(628.f30) 15:38:40:809 ProcessGPORegistryPolicy: ParseRegistryFile failed.
USERENV(628.f30) 15:38:40:825 ProcessGPORegistryPolicy: Resetting policies set in the current processing cycle.
USERENV(628.f30) 15:38:40:841 ResetPolicies: Entering.
USERENV(628.f30) 15:38:40:856 ParseRegistryFile: Entering with <C:\Documents and Settings\All Users\ntuser.pol>.   << 刪除剛才套用的 .POL
:::
USERENV(628.f30) 15:38:46:434 ParseRegistryFile: Leaving.
USERENV(628.f30) 15:38:46:450 ResetPolicies: Leaving.
USERENV(628.f30) 15:38:46:466 ParseRegistryFile: Entering with <C:\Documents and Settings\All Users\tempntuser.pol>.    << rollback .POL
USERENV(628.f30) 15:38:46:481 SetRegistryValue: Found comment GPO Name: Local Group Policy.
USERENV(628.f30) 15:38:46:481 SetRegistryValue: AlertLevel => 3  [OK]

Check Event log:   事件檢視器也清楚看到的確套用有錯誤
7/27/2010 下午 03:32:26 4 0 9010 Microsoft Operations Manager NT AUTHORITY\SYSTEM  A0412XP
7/27/2010 下午 03:32:32 4 0 1035 MsiInstaller NT AUTHORITY\SYSTEM  A0412XP Windows Installer 已重新設定該產品。產品名稱: Configuration Manager Client。產品版本: 4.00.6221.1000。產品語言: 1033。重新設定成功或錯誤狀態: 0。
7/27/2010 下午 03:32:48 1 0 1020 Userenv NT AUTHORITY\SYSTEM  A0412XP SYSTEM\CurrentControlSet\Services\USBSTOR 存取被拒。
7/27/2010 下午 03:32:48 1 0 1096 Userenv NT AUTHORITY\SYSTEM  A0412XP \\contoso.com\SysVol\contoso.com\Policies\{63AF2C73-0180-4582-80FE-84B3870C1245}\Machine\registry.pol存取被拒。
7/27/2010 下午 03:34:18 1 0 1020 Userenv NT AUTHORITY\SYSTEM  A0412XP SYSTEM\CurrentControlSet\Services\USBSTOR 存取被拒。
7/27/2010 下午 03:34:18 1 0 1096 Userenv NT AUTHORITY\SYSTEM  A0412XP \\contoso.com\SysVol\contoso.com\Policies\{63AF2C73-0180-4582-80FE-84B3870C1245}\Machine\registry.pol存取被拒。
7/27/2010 下午 03:34:56 2 52 4356 EventSystem N/A A0412XP COM+ 事件系統無法建立訂閱者 partition:{41E90F3E-56C1-4633-81C3-6E8BAC8BDD70}!new:{7E89FF0B-F649-4F9A-A9C3-F05DFAAA3DA1} 的執行個體。CoGetObject 傳回 HRESULT 80070005。
7/27/2010 下午 03:36:40 4 0 12 Communicator N/A A0412XP Communicator has enabled event logging.    Information about failed calls will be sent to the Windows event log. 
7/27/2010 下午 03:38:40 1 0 1020 Userenv NT AUTHORITY\SYSTEM  A0412XP SYSTEM\CurrentControlSet\Services\USBSTOR 存取被拒。
7/27/2010 下午 03:38:40 1 0 1096 Userenv NT AUTHORITY\SYSTEM  A0412XP \\contoso.com\SysVol\contoso.com\Policies\{63AF2C73-0180-4582-80FE-84B3870C1245}\Machine\registry.pol存取被拒。
7/27/2010 下午 03:38:57 4 0 1704 SceCli N/A A0412XP 群組原則物件中的安全性原則已經套用成功。

建議做法:

針對套用有問題的 Policy 進行調整, 並解決此問題 Policy 套用問題, 隨後GPO套用才會正確

問題描述：如果您是使用Smart Card登入Windows 7，由於安全性的原因，您希望能做到移除Smart Card後，馬上鎖定電腦或是登出，請參考以下的做法。

1. 在群組原則裏，找到「電腦設定」>「Windows 設定」>「安全性設定」>「本機原則」>「安全性選項」>「互動式登入:智慧卡移除操作」的設定改成「鎖定工作站」或是「強制登出」。

2.在「服務」裏，將「Smart card Removal Policy」設定成「自動」，並且確認可以啟動。

3.確認Policy 生效即可

Issue: 機器每天都會產生 1030/1065 的錯誤訊息

Cause:

·         此問題與GPMC介面上的WMI篩選有關, 因為機器的WMI發生問題所以無法執行WMI篩選的工作才出現錯誤

·         從 WMI控制台確認此台機器WMI的確有問題

Resolution:

Issue: Schedule Task failed to start randomly

Cause: There is a Domain Policy defined for “Logon as batch job”, this settings will overwrite all local account’s right.

Repro Step:

1.      Create a Schedule Task using local administrator account and password

2.      Test run these tasks

3.      Define “Logon as batch job” at domain level

4.      Run gpupdate /force at Server 2003

5.      Once we did apply this policy from Domain, try to run task, it will failed

       Failed with “could not start”

Workaround:

·         Include the default administrator account at “Logon as batch job” policy

Reference:

http://technet.microsoft.com/en-us/library/cc755659(v=ws.10).aspx

Log on as a batch job

In Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and Windows Server 2003, the Task Scheduler automatically grants this right as necessary. The Task Scheduler injects this right for the user into the computer's effective policy immediately after the task is scheduled. If there is a contradictory group policy defining the Logon as a batch job user right, the effective policy settings will be overwritten by the group policy only upon policy refresh.

1. 在「本機原則\稽核原則」中的稽核原則以及「進階稽核原則設定」中的稽核原則有何差異？

[安全性設定\本機原則\稽核原則] 中的基本安全性稽核原則設定以及 [安全性設定\進階稽核原則設定\系統稽核原則] 中的進階安全性稽核原則設定似乎重疊，但它們以不同方式記錄及套用。當您使用本機安全性原則，將基本稽核原則設定套用至本機電腦時，您是編輯有效稽核原則，因此對基本稽核原則設定所做的變更與 Auditpol.exe 中的設定完全相同。

這兩個位置中的安全性稽核原則設定之間還有一些差異。

[安全性設定\本機原則\稽核原則] 底下有九個基本稽核原則設定，[進階稽核原則設定] 底下則有 53 個設定。[安全性設定\進階稽核原則設定] 中的設定與 [本機原則\稽核原則] 中的九個基本設定處理類似問題，但前者讓系統管理員對要稽核的事件數目和類型有更多的選擇。例如，基本稽核原則對帳戶登入提供單一設定，進階稽核原則提供四個設定。啟用單一基本帳戶登入設定相當於設定所有四個進階帳戶登入設定。相較之下，設定單一進階稽核原則設定並不會產生您不感興趣之活動的稽核事件。此外，如果您啟用基本 [稽核帳戶登入事件] 設定的成功稽核，只會記錄所有帳戶登入相關行為的成功事件。相較之下，您可以對一個進階帳戶登入設定來設定成功稽核，對第二個進階帳戶登入設定來設定失敗稽核，對第三個進階帳戶登入設定來設定成功和失敗稽核，或設定不稽核，視組織需求而定。

[安全性設定\本機原則\稽核原則] 底下的九個基本設定是在 Windows 2000 中引進，因此可用於所有之後發行的 Windows 版本。進階稽核原則設定是在 Windows Vista 和 Windows Server 2008 中引進。進階設定只能用於執行 Windows 7、Windows Vista、Windows Server 2008 R2 或 Windows Server 2008 的電腦上。

2. 基本稽核原則設定和進階稽核原則設定之間有何互動？

基本稽核原則與使用 Windows Server 2008 R2 和 Windows 7 群組原則所套用的進階稽核原則設定不相容。這是因為使用群組原則套用進階稽核原則設定後，目前電腦的稽核原則設定會立即清除，然後才能套用產生的進階稽核原則設定。在使用群組原則套用進階稽核原則設定之後，只能使用進階稽核原則設定，可靠地設定電腦的系統稽核原則。

編輯及套用本機安全性原則中的進階稽核原則設定，會修改本機群組原則物件 (GPO)，因此如果有來自其他網域 GPO 或登入指令碼的原則時，此處所做的變更可能不會正確反映在 Auditpol.exe 中。這兩種原則類型都可以使用網域 GPO 進行編輯及套用，而且這些設定會覆寫任何衝突的本機稽核原則設定。不過，因為基本稽核原則是在有效稽核原則中記錄，需要變更時必須明確移除稽核原則，否則變更會保留在有效稽核原則中，而使用本機或網域群組原則設定所套用的原則變更則會在套用新原則時立即反映。

重要

無論使用群組原則或登入指令碼來套用進階稽核原則，請勿同時使用 [本機原則\稽核原則] 底下的基本稽核原則設定以及 [安全性設定\進階稽核原則設定] 底下的進階設定。同時使用進階和基本稽核原則設定可能會產生非預期的結果。如果您使用 [進階稽核原則設定] 設定或登入指令碼 (適用於執行 Windows Vista 或 Windows Server 2008 的電腦)，來套用進階稽核原則，務必啟用 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 以覆寫稽核原則類別設定] 原則設定。這樣將可藉由強制略過基本安全性稽核，防止在類似設定之間發生衝突。

3. 如何將安全性稽核原則從進階稽核原則回復到基本稽核原則？

套用進階稽核原則設定會取代任何類似的基本安全性稽核原則設定。如果您之後將進階稽核原則設定變更為 [未設定]，則您需要完成下列步驟，才能還原為原始的基本安全性稽核原則設定：

1. 將所有進階稽核原則子類別設定為 [未設定]。
2. 將網域控制站 %SYSVOL% 資料夾中的所有 audit.csv 檔案刪除。
3. 重新設定並套用基本稽核原則設定。

除非完成這些所有步驟，否則無法還原基本稽核原則設定。

Reference:進階安全性稽核常見問題集

http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx#BKMK_19

KB937251: The disk drive numbers may not correspond as expected to the SATA channel numbers when you set up Windows Vista, Windows Server 2008, Windows Server 2008 R2, or Windows 7 on a computer that has multiple SATA or RAID disks

In addition to notify readers that the disk numbers and SATA channels numbers may not match, this KB took a step further to explain the creation of 100MB system partition.

This is its original content:

Additionally, when you install Windows 7, the installation creates a 100MB system partition alongside the Windows partition by default. The system partition is created to accommodate a Bitlocker requirement. Bitlocker requires that the boot files and Windows files are located on separate partitions. By default, the 100MB system partition is created on the disk that is detected as Disk 0. If you install Windows to a disk other than Disk 0, the 100MB system partition will still be created on Disk 0 during the installation.

Content to clarify:

The 100MB system partition will only be created on Disk 0 during the installation, if the user didn’t change any of the pre-selected default settings. This by default definition includes: language selection, what type of installation do you want, which disk to install the Windows operating Sytem to…etc. If the user changes any of the pre-selected default settings, then this 100MB system partition is not guarantedd to be installed on Disk 0 as described in this KB.

Example:

I have a customer that chose “adanved options” and selected Disk 1 to install the Windows Operating System. Then he found out that the 100MB system partition is created on Disk 1 instead of Disk 0. This is because when he chose “advanced options” to make a selection change, this is no longer considered “by default”, hence, the 100MB system partition is not guarantedd to be installed on Disk 0 as result.

問題狀況
=================
OS: Server 2008 R2

無法建立NLB , Error 0x80041008

問題原因 & 解決方法
=================

經過確認此問題可能是當下網路卡驅動程式有問題所導致 , 透過底下方式處理即可已經正常

1. 透過裝置管理員將網卡進行移除

2. 重新開機讓網卡自動被偵測並安裝 , 手動設定相關IP設定

3. 嘗試建立NLB即可正常

問題狀況
===================
Hyper-V Host上進行VM備份時會造成部份VM進入Save狀態

問題原因
===================
有問題VM其C槽的Shadow Copy存放區是沒有存放在C槽本身 , 而是存放於D槽

解決方式
===================
將C:的Shadow Copy存放區改成C:本身即可

參考資料
===================
http://blogs.technet.com/b/virtualization/archive/2008/08/29/backing-up-hyper-v-virtual-machines.aspx

要進行online backup時VM的需求如下

問題描述
=================
C槽的Shadow Copy先前透過修改將其存放於D槽
後續嘗試修改磁碟機Shadow Copy的存放位置成C槽時 , 會出現錯誤訊息: 0x8004231d

解決方式
=================

1. 執行底下指令進行Shadow Copy的大小調整 (此動作會刪除原有的Shadow Copy)

vssadmin resize shadowstorage /for=c: /on=d: /maxsize=2000mb

2. 手動透過UI方式再次進行調整即可

[問題描述]︰

Windows XP SP3 外部user 透過 Terminal Server Gateway 進行遠端連線，不定時出現 [連線已終止，因未收到遠端電腦的意外伺服器憑證。請嘗試重新連線]訊息，造成連線中斷。

[解決方法]︰

新增credSSP機碼與安裝kb953760以解決此問題。

[說明]：
 
CredSSP 是Windows XP SP3 中新的 Security Support Provider (SSP)，預設未被啟用。CredSSP enables a program to use client-side SSP to delegate user credentials from the client computer to the target server.
kb953760 則是修正Windows XP Kerberos authentication 的已知問題。
 
[如何設定]：
 
變更credSSP機碼

1) Click Start, click Run, type regedit, and then press ENTER.

2) In the navigation pane, locate and then click the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3) In the details pane, right-click Security Packages, and then click Modify. In the Value data box, type tspkg. Leave any data that is specific to other SSPs, and then click OK.

4) In the navigation pane, locate and then click the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

5) In the details pane, right-click SecurityProviders, and then click Modify. In the Value data box, type credssp.dll. Leave any data that is specific to other SSPs, and then click OK.

6) Exit Registry Editor and restart the computer.

 
 
2.       安裝Hotfix
 

When you enable SSO for a terminal server from a Windows XP SP3-based client computer,
you are still prompted for user credentials when you log on to the terminal server
http://support.microsoft.com/kb/953760

 
[參考資料]：

951608 Description of the Credential Security Service Provider (CredSSP) in Windows XP Service Pack 3
http://support.microsoft.com/default.aspx?scid=kb;EN-US;951608
說明：
CredSSP 是Windows XP SP3 中新的 Security Support Provider (SSP)
CredSSP enables a program to use client-side SSP to delegate user credentials from the client computer to the target server.

Technet Magazine：http://64.4.10.145/en-au/magazine/hh750380
說明：
Windows Server 2008 R2: Why Use Network Level Authentication?

When you connect to an RD Session Host server with an RDC 6.x or later client, you might have noticed you don’t connect directly to the RD Session Host server logon screen to provide your credentials. Instead, a local dialog box pops up to take your credentials on the client. This dialog box is the front end of CredSSP.
When you type your credentials into this dialog box, even if you don’t choose to save them, they go to CredSSP. This then passes the credentials to the RD Session Host server via a secure channel. The RD Session Host server will only begin building a user session once it accepts those credentials.

When you enable SSO for a terminal server from a Windows XP SP3-based client computer,
you are still prompted for user credentials when you log on to the terminal server
http://support.microsoft.com/kb/953760

[問題描述]︰
 
依指令 netsh dhcp server set databasecleanupinterval 15
設定 DHCP Server , address pool 並未依設定每15分鐘進行清除與更新，

 
[解決方法]︰
 
新增機碼LeaseExtension以定期清除逾期的 IP address
 
[說明]：
 
1.      預設下，DHCP會在IP address租用過期4小時後，將此IP address標示為 [刪除] 狀態。
         此被設定為 [刪除] 狀態的IP address預設需經過1小時才會自DHCP database 被清除。
         但若環境中沒有足夠的可用IP可提供租用，也會立即清除以被認定為 [刪除] 狀態的IP。
3.      設定LeaseExtension  機碼會變更預設將租用到期的IP addres標示為[刪除] 狀態的時間。
         set databasecleanupinterval 則是變更清除[刪除] 狀態IP address的時間。

[如何設定]：
 
A.         請透過 [執行] > [regedit] > 找到下面的機碼位置：
            HKLMSystemCurrentControlSetServicesDHCPServerParameters
            新增機碼名稱：LeaseExtension
            Value Type: DWORD
            Value Data: time in minutes
 
[參考資料]：
 
Determining Lease Duration
http://technet.microsoft.com/en-us/library/cc783573(WS.10).aspx
 
Although reducing the lease duration creates more DHCP-related network traffic, it increases the rate at which addresses are returned to the available address pool for reassignment. With an average volume of DHCP request traffic, Windows Server 2003 DHCP has a four-hour default grace period after which an expired lease can be reused. This means that an address is marked for deletion four hours after the lease expires, regardless of lease duration. When the volume of DHCP-related traffic is heavy and no leases are available to service lease requests, DHCP immediately instantiates a cleanup cycle, which reclaims any leases marked for deletion. By default, the cleanup cycle occurs every 60 minutes. You can adjust the duration of the default grace period after which an expired lease is marked for deletion by editing the following key in the registry:

DatabaseCleanupInterval
http://technet.microsoft.com/en-us/library/cc963208.aspx

Description

Determines how often the Dynamic Host Configuration Protocol (DHCP) Service deletes expired ( doomed ) records from the DHCP client information database. By default, records expire after four hours. Deleting expired records releases space for new IP addresses.

· 問題徵狀：Windows XP Professional ZH-點選開始的「關機」選項後，會延遲兩分鐘左右才出現功能選單

過了兩分鐘才出現

問題說明：

您可能會在事件檢視器裡看到下列的訊息：

找不到來自來源 DCOM 之事件識別碼 10010 的描述。本機電腦可能並未安裝引發此事件的元件，或安裝已損毀。您可以在本機電腦上安裝或修復該元件。

如果事件源自其他電腦，則儲存它們時必須一併儲存顯示資訊。

下列資訊已隨附於該事件:

{9B1F122C-2982-4E91-AA8B-E071D54F2A4D}

GUID：9B1F122C-2982-4E91-AA8B-E071D54F2A4D是CAutoUpdate Class 1.0的元件

之所以發生這個問題，是因為CAutoUpdate Class 1.0的元件 在SoftwareDistribution以及子資料匣內無法找到對應的參數。當「元件物件模型」(COM) 物件嘗試登錄時，會將登錄訊息發佈至 CAutoUpdate Class 1.0。由於 CAutoUpdate Class 1.0並未執行，因此登錄訊息會逾時。接著，COM 元件就會在終端機伺服器上記錄事件 ID 錯誤訊息。

通常發生的原因，是因為SoftwareDistribution裡面的資料損毀所導致。

解決方法：

重新命名SoftwareDistribution以及子資料匣

請您將下列指令存成fix.bat，並在發生問題的電腦上執行。

Net stop bits

Net stop wuauserv

cd \documents and settings\all users\application data\microsoft\network\downloader

Del qmgr0.dat

Del qmgr1.dat

cd %systemroot%

Ren SoftwareDistribution SoftwareDistribution.old

Net start bits

Net start wuauserv

再點關機，已可正常點選。

問題徵狀：Windows XP Professional ZH-更新KB2695962後無法使用SSL VPN機制連線的問題

客戶反映更新KB2695962後無法使用SSL VPN的機制連線，移除掉KB2695962之後就可以連線。

解決方法：

如果您的網路設備是Cisco ASA 5500 Series，目前確認是相容問題，請聯繫Cisco做升級。

Cisco ASA 5500 Series SSL VPN機制連線安裝KB2695962後無法連線http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-asaclient

MS-DOS bootable USB flash is still very useful today. It could be used to access a system that doesn’t have any OS installed. Or, it’s mostly used to flash BIOS or other firmwares from DOS mode.

There is an existing document in the sevenforum.com that gives you step by step instruction on how to create a MS-DOS bootable flash drive using HP USB Disk Storage Format tool. See link here:

http://www.sevenforums.com/tutorials/46707-ms-dos-bootable-flash-drive-create.html

However, this method may not work for all the USB flash drvies.

Ex: It does not work for my Kingston 4.0GB USB flash drive

Here is another workaround:

Step1: Download rufus utility, Rufus v 1.1.7 without FreeDOS Support (154KB) from here:

https://github.com/pbatard/rufus/downloads

Step2: Download win98_bootdisk.iso image from allbootdisks.com:

http://www.allbootdisks.com/download/iso.html

Step3: Run rufus_v1.1.7.exe

Step4: click the disk icon to the right of “Create a bootable disk using:”, and selected the win98_bootdisk.iso you downloaded in step2.

Step5: click start, once you are finished. You could copy your BIOS upgrade files to this USB flash and run the executables in DOS mode.

環境 & 問題描述
============
CA : Server 2008 SP1 Standard OS安裝Enterprise Root CA
DC : Server 2008 SP1 DC & Server 2003 SP2 DC
Server 2008 DCs本身的憑證 (Domain Controller範本申請的憑證)過期而沒有自動Renew , 但是Server 2003 DC會自行Renew

問題原因
============
1. 環境有透過GPO啟動Auto-Enrollment機制
2. 環境CA是Enterprise CA搭配Server 2008 Standard OS , 無法支援V2 憑證範本的Auto-Enrollment功能

解決方式
============

方法一

將Enterprise CA移轉至Server 2008 Enterprise OS或是Server 2008 R2 任何版本的OS
藉此讓Auto-Enrollment機制可以生效 (較建議的方式)

方法二

停用GPO的Auto-Enrollment設定 (因為目前環境無法針對V2憑證範本進行Auto-Enrollment , 所以此設定目前也不會生效)

詳細分析說明
============

預設DC 在沒有進行任何設定時 , 只要環境安裝了Enterprise CA (不管安裝在什麼SKU)

DC都會自動透過預設的設定跟Enterprise CA申請[Domain Controller]此範本的憑證 (此為V1的憑證範本 , 何謂V1 V2範本請閱底下參考資料)

此機制是透過Automatic Certificate Request Settings (ACRS)來進行動作 , 而不是我們目前常說的Auto-Enrollment
(ACRS是Windows 2000時代部屬憑證的方式)

Auto-Enrollment的部分是由Server 2003開始才有的技術 , 要使用憑證的Auto-Enrollment時需要達到底下需求

摘錄: http://technet.microsoft.com/en-us/library/cc783873(v=ws.10)
Windows Server 2003 schema and Group Policy updates
Windows 2000 Server domain controllers running Service Pack 3 or later
Windows XP Professional or Windows Server 2003 clients
Windows Server 2003, Enterprise Edition or Datacenter Edition running as an Enterprise CA

上述需求達成後 , 我們則可以透過GPO的方式將Auto-Enrollment啟動 , 讓Client端可以透過此方式針對V2的憑證範本進行自動申請動作

而如果啟動Auto-Enrollment的設定時 , DC在進行本身憑證的取得時依據OS版本會有不同的行為

Server 2003 DC的行為
==============

1. 啟動Auto-Enrollment後 , 系統在開機時或是GPO套用時針對底下V2的憑證範本進行申請 or 更新

    a. Domain Controller Authentication

    b. Directory Mail Replication

    c. Kerberos Authentication (如果Enterprise CA是裝在Server 2008之後的系統時才會有)

2. 如果上述動作可以成功時 , 則整個流程就完成

3. 假設上述因為某些因素無法申請 or 更新時 (如Enterprise CA裝在Server 2008 Standard OS時 or 權限不足)則會進行下一個動作

4. 透過內建預設的方式跟Enterprise CA透過Domain Controller此V1範本來進行憑證申請 or 更新

PS: 原先V1的Domain Controller範本於Server 2003時已經將其分割成上述a & b兩個V2憑證範本
而在Server 2008出來時又多一個Kerberos Authentication的V2憑證範本

Server 2008 DC的行為
==============

1. 啟動Auto-Enrollment後 , 系統在開機時或是GPO套用時針對底下V2的憑證範本進行申請 or 更新

    a. Domain Controller Authentication

    b. Directory Mail Replication

    c. Kerberos Authentication (如果Enterprise CA是裝在Server 2008之後的系統時才會有)

2. 如果上述動作可以成功時 , 則整個流程就完成

3. 假設上述因為某些因素無法申請 or 更新時 (如Enterprise CA裝在Server 2008 Standard OS時 or 權限不足 or 其他因素)
則不會進行後續動作 (不會像Server 2003一樣跟CA透過V1的Domain Controller範本進行申請 or 更新)

所以由此可以得知為何只有外點的Server 2003 DC沒有受到影響 , 而其他Server 2008 DC都有此問題

相關參考資料
==============

何謂V1 , V2 , V3 憑證範本?
我們從Certificate Template的管理畫面內可以看到底下資訊 , Minimum Supported CAs分別會有三種值
Windows 2000 -> V1 憑證範本 (內建 , 無法編輯內容)
Windows Server 2003 Enterprise -> V2 憑證範本 (最常用 , 將V1憑證範本進行複製後即可產生V2 Template , 可以修改裡面內容如年限 & Support Auto-Enrollment等)
Windows Server 2008 Enterprise -> V3 憑證範本 (涵蓋V2憑證範本的所有功能並多ㄧ些新功能)

詳細資訊可以參考底下網址
Designing and Implementing a PKI: Part III Certificate Templates
http://blogs.technet.com/b/askds/archive/2010/05/27/designing-and-implementing-a-pki-part-iii-certificate-templates.aspx