关于虚拟机、快照及被严重破坏的安全信道
我为了测试使用Hyper-V建立了大量的方案。在测试过程中,我全程使用了快照功能来防止低级错误和误更改。这项快照功能虽然是一个极好的功能,但是有时也会让你陷入问题之中。
在理想环境中,当你工作在一个拥有一台域控制器和多个成员的域的测试方案中时,如果你想要抓取该测试方案中某一台机器的快照,你将会抓取该测试方案中所有虚拟机的快照,而且这项工作要求你在同一时间同时完成。这就意味着所有的虚拟机将被保存在一个理想的配置文件中。
这样的理想环境的问题就在于你也许只想要一台单独机器的快照来执行一个假设性测试,然后能够在假设破灭后进行回滚操作。然而如果你不同时对所有的虚拟机进行快照抓取,你就会担负在假设性测试过程中某一台机器会修改它的安全信道密码的风险。那样的话,在你恢复了假设性测试进程中涉及的更改后,准备登录系统时,你将收到一条错误信息提示该机器与域控制器之间的信任关系已被破坏。届时,你唯一能做的只能是将该机器从域中删除后重新加入域。
下面是针对这一问题的一个解决方案。你可以禁止机器帐户修改机器的安全信道密码,或者你可以修改机器帐户密码最大使用期限时间,将其设为一个长于系统默认的30天的时间值。这样做能够避免不能登录的问题。现在如果你要在实际生产环境中做这些操作,千万要充分理解这些更改的意义以及可能出现的安全风险。
在做更改时,打开你的组策略编辑器,然后找到“计算机配置\Windows设置\安全设置\本地策略\安全选项”。
启用“域成员:禁用计算机帐户密码更改”选项,或者编辑“域成员:计算机帐户密码最长使用期限”选项的值,将系统默认的30天的值增加到一个新的更大的值(最大可达到999天)。
执行上述两项更改中任意一项可以避免收到告知安全信道被破坏的极坏的信息。
希望这些某一天能帮上你的忙。。。Robert
我为了测试使用Hyper-V建立了大量的方案。在测试过程中,我全程使用了快照功能来防止低级错误和误更改。这项快照功能虽然是一个极好的功能,但是有时也会让你陷入问题之中。
在理想环境中,当你工作在一个拥有一台域控制器和多个成员的域的测试方案中时,如果你想要抓取该测试方案中某一台机器的快照,你将会抓取该测试方案中所有虚拟机的快照,而且这项工作要求你在同一时间同时完成。这就意味着所有的虚拟机将被保存在一个理想的配置文件中。
这样的理想环境的问题就在于你也许只想要一台单独机器的快照来执行一个假设性测试,然后能够在假设破灭后进行回滚操作。然而如果你不同时对所有的虚拟机进行快照抓取,你就会担负在假设性测试过程中某一台机器会修改它的安全信道密码的风险。那样的话,在你恢复了假设性测试进程中涉及的更改后,准备登录系统时,你将收到一条错误信息提示该机器与域控制器之间的信任关系已被破坏。届时,你唯一能做的只能是将该机器从域中删除后重新加入域。
下面是针对这一问题的一个解决方案。你可以禁止机器帐户修改机器的安全信道密码,或者你可以修改机器帐户密码最大使用期限时间,将其设为一个长于系统默认的30天的时间值。这样做能够避免不能登录的问题。现在如果你要在实际生产环境中做这些操作,千万要充分理解这些更改的意义以及可能出现的安全风险。
在做更改时,打开你的组策略编辑器,然后找到“计算机配置\Windows设置\安全设置\本地策略\安全选项”。
启用“域成员:禁用计算机帐户密码更改”选项,或者编辑“域成员:计算机帐户密码最长使用期限”选项的值,将系统默认的30天的值增加到一个新的更大的值(最大可达到999天)。
执行上述两项更改中任意一项可以避免收到告知安全信道被破坏的极坏的信息。
希望这些某一天能帮上你的忙。。。Robert
转载于:https://blog.51cto.com/hollenliu/281763
1015
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
