我在服务器的 Windows事件日志中收到此错误：

从远程客户端应用程序收到TLS 1.0连接请求,但服务器不支持客户端应用程序支持的任何密码套件. SSL连接请求失败.

当我尝试从Windows Server 2003框连接到Windows 7框上的Web服务时.

如何将密码套件添加到另一个支持的密码套件中？

(修复客户端是理想的,但没有服务器解决方案没问题 – 我可以访问所有涉及的盒子,我只想在它们之间进行一些基本的加密以保护隐私).

随着谷歌搜索和阅读的数小时,我尝试过：

>选中服务器窗口事件查看器(发现密码套件错误)
>从http://support.microsoft.com/kb/948963添加到test1的密码套件(没有帮助)
>将TLS 1.0添加到服务器Windows注册表中的密码套件中的协议(无更改)
>安装IIS工具,希望为Schannel添加更多协议(它没有)
>再次为客户端导出证书,但包含私钥(无更改)
>检查已安装的密码套件是否与服务器和客户端匹配(无法找到win2k3列出的位置)
>将TLS_RSA_WITH_AES_256_CBC_SHA(由上面的修补程序安装)添加到服务器的密码套件(nope,已经在那里)

在选择密码时,Windows 7使用新的CNG(Cryptography Next Generation)API.据我所知,CNG for Windows 2003不可用.

但是,您可以安装这些基于AES的密码套件,以便在Windows 2003上使用：

> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_AES_256_CBC_SHA

这些是Windows Vista和Windows 7客户端将尝试协商与TLS 1.0及更高版本一起使用的第一个套件,并且OpenSSL客户端也支持这些套件.

要使用这些,请安装KB948963

我有一个在 Windows 2003上运行的域,在2000模式下.我正在尝试创建一个AD组,以向用户授予临时域管理员权限,以节省必须为其提供永久DA.

我在OU：Groups / Admin / Delegated Permissions中创建了一个AD组：g.Temp_DomainAdmin.

我有一个运行VBScript的计划任务,以从该组中删除所有用户.

该任务作为服务帐户运行,具有有限的权限：s.purge_temp_da

我已将OU的权限委派给服务帐户,以允许完全控制其下的组.

手动运行任务非常有效.但无论何时在午夜运行,它都会失败并显示“-2147024891 – 一般访问被拒绝错误”.查看g.Temp_DomainAdmin组会显示委派的权限已消失.

有任何想法吗？这是VBScript：

Option Explicit
Dim objRootDSE,strDomain,objGroup,objUser,strdistinguishedname,arrDnComponents
Const ADS_PROPERTY_DELETE = 4
' Retrieve domain information
Set objRootDSE = Getobject("LDAP://RootDSE")
strDomain = objRootDSE.Get("DefaultNamingContext")
' Bind to the group
Set objGroup = Getobject("LDAP://CN=G.ADM.Temp_DomainAdmin,OU=Delegated Permissions,OU=Admin,OU=Resource Access,OU=groups," & strDomain)

' Iterate through the user objects in the group
For Each objUser In objGroup.Members

    on error resume next

    ' Get the users distinguishedname
    strdistinguishedname = objUser.distinguishedname
    wscript.echo "Removing " & objUser.cn

    ' Remove the user from the group
    objGroup.PutEx ADS_PROPERTY_DELETE,"member",Array(strdistinguishedname)
    objGroup.SetInfo
    wscript.echo "Removed " & objUser.cn

    if err.number <> 0 then
        wscript.echo err.number & " - " & err.description
    end if

    on error goto 0
Next
wscript.echo "Done"

谢谢

您正在体验Active Directory的“adminSDHolder”和“SDProp”功能的影响.此功能的目的是将已知ACL应用于作为特殊保护组成员的安全主体(用户,组和计算机).您的“g.Temp_DomainAdmin”组作为“域管理员”的成员,已标记为“adminCount”值为“1”,现在受“adminSDHolder”的约束.当此线程运行时,“g.Temp_DomainAdmin”组中的ACL将重置为已知ACL. (Microsoft has a more long-winded description of this functionality如果您想了解更多详细信息.)

您可以modify the adminSDHolder ACL允许您尝试执行的操作,但通常不建议您这样做.

由于您的脚本可以添加/删除“Domain Admins”组的成员,因此您最好只是以具有“Domain Admins”成员身份的用户身份运行该脚本,从而避免了为脚本委派任何权限的需要. (基本上,如果有人“拥有”脚本执行上下文,即使您尝试安排了委托,他们也可以使用脚本将自己添加到“域管理员”中.该委托使问题变得复杂并且没有提供真正的安全性. )

当您想在IIS 6.0( Windows Server 2003)上启用HTTP压缩时,您需要做很多事情/考虑.

有人可以提供一个完整的列表,列出您为正确启用HTTP压缩所必须采取的措施吗？

> HTTP COMPRESSION in IIS 6 and IIS 7 using Service Account
> TechNet – Enabling HTTP Compression
> IIS Compression in IIS6.0
> How to enable HTTP compression (IIS6)
> HTTP Compression and IIS 6.0
> IIS 6 Compression – quickest and effective way to do it for ASP.NET compression

更新：

要验证压缩是否有效,您可以将Firefox与Firebug和YSlow插件一起使用,它们将显示每个组件的压缩状态(html,javascript,css).

另外,为了测试每种压缩方法(gzip / deflate),您可以在Firefox中更改“network.http.accept-encoding”首选项(默认值为“gzip,deflate”)

首先,我的设置是运行 Windows 2003 Server的VPS,其上有多个域
IIS 6,Plesk

IsapiRewrite4.ini

RewriteLogLevel 3

RewriteCond %{HTTP_HOST} ^mydomain.com$
RewriteRule ^/(.*)$       http://www.mydomain.com/$1  [R]

这是他们的基本例子之一. Ionic安装和设置正确,因为如果我使用另一个规则(一个更简单的…如下一个),它立即工作

# IsapiRewrite4.ini
#

RewriteLogLevel 3

#
# This ini file illustrates the use of a redirect rule. 
# Any incoming URL that starts with an uppercase W
# will be redirected to the specified server.

RewriteRule ^/(W.*)$ http://server.dyndns.org:7070/$1   [R]

这个工作在TestDriver工具中,并且它们都没有在TestParse工具中提供任何错误或警告,但它在Web服务器上没有做任何事情……一个规则有效的事实意味着isapi模块工作.我正在使用最新版本.

RedirectRule http://mydomain.com/someplace/somefile.html http://www.mydomain.com/howto/someplace/anotherfile.html  [I,L]

两个例子都取自http://iirf.codeplex.com/Wiki/View.aspx?title=Redirection&referringTitle=Home
所以我的IsapiRewrite4.ini需要完成这两项任务：自动转换和重定向许多网址.你能帮忙吗…我真的不知道我做错了什么.

RedirectRule是新语法. 301或302重定向的旧语法是带有[R]标志的RewriteRule,但它变得非常混乱,所以它被改变了.使用当前版本的IIRF,要进行重定向,可以使用RedirectRule指令.

注意：从IIRF v2.1.1.5开始,再次支持带有[R]标志的RewriteRule语法,以便与mod_rewrite兼容.