https://www.cnblogs.com/KevinGeorge/p/8563458.html 一.域控windows安全日志基本操作 1.打开powershell或者cmd 1 #gpedit.msc 打开配置: 关于账户安全性的策略配置在账户配置哪里 2.打开控制面板->系统与安全->事件查看器->windows日志->安全: 希望这里配置的时间足够长久,以便于查看日志 选择筛选器,筛选这一条: 来查看这个是很常用的一个,当然审核成功也很有用,那是你知道那个时间确定被入侵

前言:漏洞复现篇见:https://www.cnblogs.com/huaflwr/p/13697044.html 本文承接上一篇,简单过滤NetLogon漏洞被利用后,域控上的安全及系统日志上可能需要重点关注的事件ID,方便安全运营监控人员值班观察.仅供参考.如果有时间,会出本系列第三篇--原理分析篇(菜鸟一枚,不一定有),结合原理看域控上为何会产生这些特殊事件,会对此漏洞有更加深入的理解.

​文章首发于公众号<Z2O安全攻防>​ 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看. https://mp.weixin.qq.com/s/WMGkQoMnQdyG8UmSyrAGIg 前言 Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos). 认证的原理网上有很多文章.如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课 https://www.bilibili.com/video/BV1S4411e7hr?spm_id_from=333.788

从0开始搭建SQL Server AlwaysOn 第一篇(配置域控) 第一篇http://www.cnblogs.com/lyhabc/p/4678330.html第二篇http://www.cnblogs.com/lyhabc/p/4682028.html第三篇http://www.cnblogs.com/lyhabc/p/4682986.html第四篇http://www.cnblogs.com/lyhabc/p/6136227.html AlwaysOn是SQL Server2012推出

原文地址: http://www.cnblogs.com/lyhabc/p/4678330.html 实验环境: 准备工作 软件准备 (1) SQL Server 2012 (2) Windows Server 2012 R2 DataCenter   64位 (3) VMware-workstation 10.0 操作系统:都是Windows Server 2012 R2   DataCenter  64位(win2012/win2012R2 只有DataCenter 版本才能使用故障转移集群

问题描述 突然收到客户报告,开发人员登录TFS系统时,出现登录异常现象.即使输入了正确的账户和密码,TFS系统任然提示重新登录的页面,导致用户无法打开TFS系统. 即使登录成功,在修改代码或者修改工作项的工程中,系统时而提示"管理员取消了操作". 现象如下图: 处理过程 1. 接到报告后,我们立刻在多个客户端上验证,重现了用户反馈的问题,并确认问题出在TFS系统服务端,而不是个别开发人员计算机的问题. 2. 根据问题现象,迅速排查TFS服务器中的日志和配置信息,发现DNS正常,数据库和

windows server 2012在部署DC方面有了一些改变,不但在操作上有一些改变,而且有了新的DC克隆的功能.本文就先来体验一下如何将一台windows server 2012 RTM服务器提升为域控制器. 前期工作: 先要想好一个符合dns格式的域名,如 feel.com 1,我已经安装好了一台windows server 2012服务器,而且已经配置好了IP.DNS(指向本机IP)等信息.如图. 2,使用本地管理员账户登录,修改计算机名为"DC"(这个可以随意),升级成域控

0 引言 这一篇才真正开始搭建AlwaysOn,前三篇是为搭建AlwaysOn 做准备的. 步骤 1.3 配置AlwaysOn 请先使用本地用户Administrator登录这两个集群节点并执行下面的操作,先不要用域用户DCADMIN登录 1.两个集群节点都需先安装.NET Framework 3.5(在Windows Server 2012 R2中使用添加功能来安装). 2.各个集群节点本地都要准备好相关软件,在各个节点上独立安装SQL Server 2012(不能使用群集方式安装),保证各个

vSphere VCSA5.5加入AD域环境问题记录 实验目的: 搭建一套vSphere VCSA5.5,并加入新搭建的AD域,并使用一个域用户登录VC,赋予对VC的只读权限. 实验环境: 使用VMWare Workstation创建两台虚拟机,一台Win2008R2,新建AD域控,域名zhufeng.com,虚拟网卡使用NAT方式,分配静态IP:192.168.216.199.创建两个域用户user01和user02. 另一台部署VCSA,使用VMware-vCenter-Server-App

漏洞利用 0x01 漏洞利用前提 1.域控没有打MS14-068的补丁(KB3011780) 2.拿下一台加入域的计算机 3.有这台域内计算机的域用户密码和Sid 0x02 工具下载 Ms14-068.exe 下载地址:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068 PSexec 下载地址:https://github.com/crupper/Forensics-Tool-Wiki/blob/master/win

安装完之后别忘了还需要安装SSMS,这是坑爹的地方之二,干嘛不集成到SQL Server安装包里还要用户自己单独下载 下载地址:https://msdn.microsoft.com/en-us/library/mt238290.aspx?f=255&MSPPError=-2147217396 AlwaysOn是SQL Server2012推出的最新的高可用技术,用以取代原有的SQL Serve镜像 网上的 AlwaysOn可以说是非常的多,也可以说是非常的千篇一律,而且很多都是搭建非常顺利的,没

场景1:主域控制器与辅助域控制器运行正常,相互间可以实现AD复制功能.需要把辅助域控制器提升为主域控制器 ,把主域控制器降级为普通成员服务器:这种场景一般应用到原主域控制器进行系统升级(先转移域角色,再降级,再安装或升级高版本系统,再次转移角色恢复到主域控制器角色)或使用配置更高的服务器替代原主域控制器起到主域控制的作用(使用高配置的服务器配置成辅助域控制器,然后把原主域控制器角色转移到该主机,原主机成为辅助域控制器,高配置主机成为主域控制器) 场景2:辅助域控服务器运行正常,主域控服务器因突发

一 AD概述 1.1 AD简介 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系. 当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输. 域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界.域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他

v:* { } o:* { } w:* { } .shape { } p.msonormal,li.msonormal,div.msonormal { margin: 0cm; margin-bottom: .0001pt; text-align: justify; font-size: 10.5pt; font-family: 等线 } h1 { margin-top: 17.0pt; margin-right: 0cm; margin-bottom: 16.5pt; margin-left:

一.问题: 域控服务器DOS窗口运行nslookup命令提示如下: 二.原因分析: 主要原因在于域控服务器的DNS服务器没有设置反向查找区域,计算机名称是通过IP地址反向查找到域控服务器的计算机名称. 三.解决办法: 1.右键反向查找区域 ----- 新建区域. 2.选择下一步. 3.选择主要区域 ----- 在Active Directory打勾 ---- 下一步. 4.选择第二项 ---- 下一步. 5.选择IPv4反向查找区域. 6.网络输入IP地址段 192.168.10   ----

polybase集群要求使用相同的域账号,本节介绍选择用Azure虚拟机搭建自己的内网DNS服务器和域控 创建虚拟网络polybase,创建名为DNS的子网,如下图: 创建虚拟机,选择polybase,如下图: 虚拟机创建完成后,在portal仪表盘界面查看分配的IP地址,如下图: 设置静态IP,此过程不能在portal里面完成,必须通过powershell脚本,如下 (注意:这里的静态IP与物理机上的静态IP不是一个概念,是指Azure会记录一条消息,当VM关机重启后,会根据这条消息自动给该机

samba服务器加入域控主机,成为域成员,当用户访问samba服务器上的共享文件时,直接到域控主机上进行认证.samba服务器上不需要像先前一样创建系统用户,创建samba用户及密码. 1.安装环境(host) SAMBA服务器:RHEL6.4      IP:192.168.1.101  主机名:sambaserver.samba.com 域控主机WINSERVER2008  IP:192.168.1.100  主机名:winserver.samba.com 域名:SAMBA.COM 设置SE

开始第一条先说注意事项:我所配置的环境是用了三台2012server虚拟机,三台虚拟机必须要加下域控,而且登录操作的时候必须以域账号登录,否则测试不通过!在笔记本上搭建了两个虚拟机(window server 2012),一个作为AD服务器,即域控服务器,一个作为web apps server服务器,本机作为web应用服务器. 一.搭建域控服务器 首先,打开“服务器管理器”,点击“添加功能和角色”. 进入“添加角色和功能向导”,检查到静态IP地址(为192.168.100.100)已配置完成,管

windows组策略实验-本地组策略和域控组策略 本地组策略只对本地计算机有效,域策略是计算机加入域环境后对加入域的一组计算机.用户定义的策略,便于管理 本地组策略: 一.实验环境 Windows 7 二.实验步骤 (一)计算机自启动 1.在C盘的test目录下,编辑以下脚本,保存为start1.bat,并以管理员身份运行 2.“开始”-->“运行”-->键入“gpedit.msc”-->“本地组策略编辑器”-->“Windows设置”-->“脚本(启动/关机)”-->

本章紧接上文,当生产环境中域控出现问题无法修复以后,一方面我们需要考虑抢夺FSMO角色,另一方面我们需要考虑的问题是清理当前域控的残留信息,以防止残留数据信息导致用户验证或者解析异常等问题.本章讲到如何通过ntdsutil命令清理当前残留域控信息.具体操作步骤如下: 1.查看Ntdsutil帮助信息: 2.在命令行输入ntdsutil : 3.输入Metadata cleanup  清理不使用的服务器的对象: 4.输入connections 选择连接域控制器: 5.输入 connect to d