Clone system 後SID變更 (for Windows)

因為工作需要常做lab，會在vm中進行clone vhost 或是以 Ghost 快速複製系統環境，
常會需要更改 SID 以避免同一個網路環境使用下 SID 的衝突。


要更改 SID 可以使用微軟內鍵的 sysprep 來重建 SID
開始-->執行-->sysprep-->確定 開啟sysprep目錄後，執行sysprep.exe
記得勾選「一般化(G)」這個項目後再按確定

☆ 注意：sysprep 進行 OOBE 後會重置系統以下組態
如：時區、鍵盤、電腦名稱、登入帳戶的密碼、「Windows 需要重新啟用」等。
但...除了Administrator以外的帳號sysprep後仍存在...

執行後 Sysprep 會跑一般化的設定流成後重新啟動系統，並且於開機後提示設定時區、使用者帳號密碼，Windows啟用也需重新進行。

設定相關設定後，可使用 whoami /user 來檢視 SID 已經改變了。
開始-->執行-->CMD 確認。
在CMD中輸入whoami /user來確認SID已變更。

參考資訊：
Windows 用 Sysprep 更改 SID , whoami 查 SID
https://shazi.info/windows-%E7%94%A8-sysprep-%E6%9B%B4%E6%94%B9-sid-whoami-%E6%9F%A5-sid/


解未問題：能變更SID，那能否指定呢....

HPE, Dell, IBM, EMC, Nimble, NetApp 報修資訊

HP 與 HPE 報修
HP自2015分為家用HP與商用HPE，Support也分開了

HPE Support (7x24) 0800-211-666
(Server / Storage / Networking)
支援網站 https://infosight.hpe.com

HP 服務專線：0800-010-055
(商用桌上型電腦和筆記型電腦)
服務時間：星期一至星期六 AM9:00~PM18:00
下班時間可撥02-2537-9007
支援網站 https://support.hp.com

Dell報修
技術諮詢及產品報修Service Center
電話號碼(7x24): 00801-861011 (Desktop, Notebook) , 00801-601256 (Server, Storage)
報修時, 請備妥機器之產品序號／Service Tag Number (機器背後由七個英文字母及阿拉伯數字組成之序號)
報修時, 請務必向客服中心取得維修代號(Case Number) , 以便後續追蹤,若單獨採購 TFT , 請記錄訂單編號 ,以利後續維修。



IBM Lenovo 報修
硬體報修專線： 0800-016-888 #2 #2 or 0800-055-055
軟體服務熱線： 0800-016-888 #2 #4
聯想 - 電腦售後服務專區 https://www3.lenovo.com/tw/zh/postsaleserviceindex/

ThinkPad 筆記型電腦維修進度查詢網址
http://www3.lenovo.com/tw/zh/repairstatus/index/

Think 系列售後服務專區 https://www3.lenovo.com/tw/zh/support/think/
Idea 系列售後服務專區 https://www3.lenovo.com/tw/zh/support/idea/

維修進度查詢 http://pcsupport.lenovo.com/tw/zh/regemail



Nimble Storage Support
線上支援(InfoSight) https://infosight.nimblestorage.com/InfoSight

服務專線(7x24): 0080-114-7152 台灣時間 07-17時 可轉新加坡華語工程師

EMC Support
支援網站 http://support.emc.com
服務專線(7x24): 0800-030-919
--> (#2) 硬體 --> (#7) VNX  / (#8) Isilon



NetApp Storage Support
支援網站 https://mysupport.netapp.com
服務專線(7x24): 008-008-008-0800
--> (#1) 中文 or (#2) 英文


持續補充...

Windows 80埠佔用 與 挖礦木馬處理記錄 - Bondnet殭屍網路

原由：某網站主機採Windows7+XAMPP+Avira Free Antivirus，發現WEB服務無法啟用…
觀察：
1、80埠被佔用
2、程序mscd.exe持續佔用CPU 100%資源，該程序位於C:\Windows\Temp\mstx

Q1處理：
以netstat -ano查詢哪個程序佔用80埠

C:\>netstat -ano | findstr 0.0:80

如果有顯示結果，可以知道佔用的PID
再以tasklist | findstr PID查詢是哪個程序(假設查到的結果是1220這個PID)

C:\>tasklist | findstr 1220

最後再把佔用的程序關掉並啟用APACHE服務即可


Q2處理：
1、開啟工作管理員，停用該程序(mscd.exe)，並送至totoalvirus檢測確定中獎…檢測結果 42/63

2、清除檔案

3、重新開機、再次檢測

4、提交程序至Avira
https://analysis.avira.com/zh-tw/submit


結論：
1、服務主機還是單純跑服務就好，不要用來進行一般操作(上網、下載…)
2、防毒軟體不是萬能的…以本次案例來說，Avira其實有掃到該資料夾另一檔案是有惡意程式，但還在跑的msdc.exe就找不到。
但是，抓回來檔案在另一部PC上立馬就被Immunet擋掉了…
所以，可考慮再加裝Immunet來提高檢測率。
關於Immunet與各家防毒軟體的相容性問題，可參考：
https://zh.wikipedia.org/wiki/Immunet#cite_note-5
至少手邊常用的ESET NOD、Avira都沒問題...


參考資訊：
1、Qoding Style - Windows 如何找到佔用 port 的程式?
http://blog.qoding.us/2011/07/windows-how-to-find-out-which-application-is-using-what-port/

2、ifuun - 揭秘來自中國的數字貨幣「挖礦」軍團 – Bondnet殭屍網路
http://www.ifuun.com/a20175122176953/

Exchange Server 2010 信箱匯出要求 (建立、檢視、移除)

以下內容主要參考Microsoft TechNet，為了避免日後M$異動找不到，所以留下記錄與附註。

https://technet.microsoft.com/zh-tw/library/ff459227(v=exchg.141).aspx
適用版本：Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間： 2016-11-28

附註:您無法使用 Exchange 管理主控台 (EMC) 來建立信箱匯出要求。您必須使用 Exchange 管理命令介面。
附註:當您使用 New-MailboxExportRequest Cmdlet 將信箱匯出到 .pst 檔時，.pst 檔只能使用 MicrosoftOutlook 2010 或更新版本開啟。
附註:雖然您可以一次為每個信箱建立多個匯出要求，但是對每個 .pst 檔案一次只能建立一個要求。這是因為在要求開始執行時，.pst 檔案會鎖定為「使用中」狀態。
附註:匯出的路徑需為 UNC 路徑。例如: \\ComputerName\SharedFolder\Resource.pst。另外當路徑不存在時，指令會失敗。

使用命令介面將使用者的 主要信箱 匯出至 .pst 檔案

-此範例將 alex 的主要信箱匯出至伺服器 exmail 上網路共用資料夾 bk 中的 alex.pst 檔案。
New-MailboxExportRequest -Mailbox alex -FilePath "\\exmail\bk\alex.pst"
執行結果:

Name                                      Mailbox                                        Status
----                                           -------                                        ------
MailboxExport                       FDomain/Domain/ORG/UserName                    Queued

使用命令介面將使用者的 個人封存檔 匯出至 .pst 檔案
-此範例將 Kweku 的封存檔匯出至網路共用資料夾 PSTFileShare 中的 .pst 檔案。
New-MailboxExportRequest -Mailbox Kweku -IsArchive -FilePath "\\SERVER01\PSTFileShare\Kweku_Archive.pst"

使用命令介面從使用者的信箱匯出特定資料
-此範例將 Tony 在 2010 年 1 月 1 日之前接收，且郵件內文中包含「company」和「profit」的郵件匯出。
New-MailboxExportRequest -Mailbox Tony -ContentFilter {(body -like "*company*") -and (body -like "*profit*") -and (Received -lt "01/01/2010")} -FilePath "\\SERVER\PSTFileShare\Tony_CompanyProfits.pst"

使用命令介面從已知資料夾匯出資料
「已知資料夾」是已知具有特定名稱 (不論該名稱使用哪種語言) 的信箱資料夾。例如，#Inbox# 表示 [收件匣] 資料夾，即使在土耳其文中當地語系化為 Gelen Kutusu，也是如此。已知的資料夾包含下列類型：

收件匣
寄件備份
刪除的郵件
行事曆
連絡人
草稿
日誌
工作
記事
垃圾郵件
通訊歷程記錄
語音信箱
傳真
衝突
同步問題
本機失敗
伺服器失敗

您必須已獲指派權限，才能執行此程序。若要查看您需要的權限，請參閱信箱權限 主題中的「匯入/匯出」項目。
https://technet.microsoft.com/zh-tw/library/dd638132(v=exchg.141).aspx

您必須授與 Exchange 受信任子系統群組讀取/寫入權限且在網路共用您匯出或匯入的信箱。如果您不授與此權限，您將會收到錯誤訊息，說明 Exchange 無法建立與目標信箱的連線。
此範例將 Kweku 收件匣中的所有郵件匯出至 .pst 檔案 LitigationHold。
New-MailboxExportRequest -Mailbox Kweku -IncludeFolders "#Inbox#" -FilePath \\PSTFileShare\Kweku\LitigationHold.pst
如需詳細的語法及參數資訊，請參閱 New-MailboxExportRequest。
https://technet.microsoft.com/zh-tw/library/ff607299(v=exchg.141).aspx

檢視信箱匯出要求內容

https://technet.microsoft.com/zh-tw/library/ff607297(v=exchg.141).aspx
上次修改主題的時間： 2015-03-09

您無法使用 Exchange 管理主控台 (EMC) 來檢視信箱匯出要求的內容。您必須使用命令介面。

Get-MailboxExportRequest -Identity "Tony\DB01toPST"
-此範例透過以管線將結果傳輸至 Format-List 命令，傳回進行中匯出要求 Tony\DB01toPST 之狀態的其他相關資訊。
Get-MailboxExportRequest -Identity "Tony\DB01toPST" | Format-List
-此範例傳回狀態為進行中且從資料庫 DB01 上的信箱或封存檔匯出資料之匯出要求的相關資訊。
Get-MailboxExportRequest -Status InProgress -Database DB01
-此範例傳回位於 Attachment_CompanyReport 批次中且狀態為已完成之匯出要求的相關資訊。
Get-MailboxExportRequest -BatchName "Attachment_CompanyReport" -Status Completed
-此範例傳回名稱為 DB01toPST 且狀態為已擱置的所有匯出要求。
Get-MailboxExportRequest -Name "DB01toPST" -Suspend $true
如需詳細的語法及參數資訊，請參閱 Get-MailboxExportRequest。
https://technet.microsoft.com/zh-tw/library/ff607479(v=exchg.141).aspx

Get-MailboxExportRequest 輸出
依預設，Get-MailboxExportRequest Cmdlet 會傳回要求的名稱、執行要求所針對的信箱以及要求的狀態。下表列出了在使用管線傳輸 Format-List 命令時傳回的資訊：

值/描述
FilePath/此值可指定將匯出 .pst 檔案的檔案路徑。
SourceDatabase/此值可指定包含正在匯出的信箱或封存檔的資料庫。
Mailbox/此值可指定正在匯出其信箱或封存檔的使用者。
Name/此值可指定匯出要求的名稱。
RequestGUID/此值可指定匯出要求的 GUID。
RequestQueue/此值可指定 Microsoft Exchange 信箱複寫服務 (MRS) 在哪個資料庫上儲存匯出要求的詳細狀態。
Flags/此值可指定建立匯出要求時，Cmdlet 自動設定的標幟。
BatchName/此值可指定批次名稱。如果您並未提供批次名稱，此欄位將為空白。
Status/此值可指定要求的狀態。
Suspend/此值可指定建立的要求是否在完成之前自動擱置。
Direction/此值可指定要求是發送式還是提取式。對於匯出要求，此值永遠是Push。
RequestStyle/此值可指定要求是 IntraOrg 還是 CrossOrg。對於 Exchange 2010 SP1，此值永遠是 IntraOrg。
Identity/此值可指定匯出要求的識別碼。

檢視匯出要求統計資料

-此範例傳回 Tony\MailboxExport 的預設匯出要求統計資料。依據預設，傳回的資訊類型包括要求的名稱、執行要求的信箱，以及要求的狀態。
Get-MailboxExportRequestStatistics -Identity Tony\MailboxExport
執行結果:

Name                                   Status                    SourceAlias                           PercentComplete
----                                   ------                    -----------                           ---------------
MailboxExport                          InProgress                Tony                                  50

-此範例透過使用 IncludeReport 參數以及透過使用管線將結果傳輸至 Format-List 命令，傳回匯出要求 Tony\MailboxExport 的其他相關資訊。
Get-MailboxExportRequestStatistics -Identity Tony\MailboxExport -IncludeReport | Format-List
-此範例傳回匯出要求 Tony\MailboxExport 的詳細統計資料，並將報告匯出至 .csv 檔案。
Get-MailboxExportRequestStatistics -Identity Tony\MailboxExport | Export-CSV \\ExportRequest_Reports\Tony_Exportstats.csv
-此範例透過使用 IncludeReport 參數傳回狀態為已失敗之所有匯出要求的其他資訊，並將資訊儲存到文字檔 AllExportReports.txt。
Get-MailboxExportRequest -Status Failed | Get-MailboxExportRequestStatistics -IncludeReport | Format-List > AllExportReports.txt
如需詳細的語法及參數資訊，請參閱
Get-MailboxExportRequestStatistics https://technet.microsoft.com/zh-tw/library/ff607316(v=exchg.141).aspx
Get-MailboxExportRequest https://technet.microsoft.com/zh-tw/library/ff607479(v=exchg.141).aspx

Get-MailboxExportRequestStatistics 輸出
依預設，Get-MailboxExportRequestStatistics Cmdlet 會傳回要求的名稱、要求的狀態、來源信箱的別名以及已完成的百分比。下表列出了在使用管線傳輸 Format-List 命令時傳回的資訊：

值/描述
Name/此值可指定要求的名稱。
Status/此值會指定要求的狀態。
StatusDetail/此值可指定要求的更詳細狀態資訊。
Flags/此值可指定建立匯出要求時，Cmdlet 自動設定的標幟。
RequestStyle/此值可指定要求是 IntraOrg 還是 CrossOrg。對於 Exchange 2010 SP1，此值永遠是 IntraOrg。
Suspend/如果設為 true，則此值可指定是系統管理員已擱置此要求，還是此要求已失敗。
FilePath/此值可指定匯出 .pst 檔案的來源檔案路徑。
SourceAlias/此值可指定來源信箱的別名。
SourceExchangeGuid/此值可指定來源信箱或封存檔的 GUID。
SourceRootFolder/此值可指定資料匯出來源之信箱或封存檔階層的根資料夾名稱。如果此值為空白，則會從「資訊儲存庫最上層」的資料夾匯出資料。
IncludeFolders/此值可指定匯出期間要包括的資料夾的清單。如果此值為空白，則建立要求時不會指定任何資料夾，將匯出所有資料夾 (除非使用 ExcludeFolders 參數來排除特定資料夾)。
ExcludeFolders/此值可指定匯出期間要排除的資料夾的清單。如果此值為空白，則建立要求時不會指定任何資料夾，將匯出所有資料夾 (除非使用 IncludeFolders 參數來納入特定資料夾)。
ExcludeDumpster/此值可指定在建立要求時，是否排除 [可復原的項目] 資料夾。
ConflictResolutionOption/此值可指定目標資料夾和來源資料夾中有相符郵件時，MRS 將採取的動作。
AssociatedMessagesCopyOption/此值可指定是否在處理要求時複製相關聯的郵件。相關聯郵件為包含有關規則、檢視與表單等資訊之隱藏資料的特殊郵件。
BatchName/此值會指定批次名稱。如果您並未提供批次名稱，此欄位將為空白。
ContentFilter/此值可指定用於搜尋郵件內容的 OPATH 內容篩選器。如需詳細資訊，請參閱-ContentFilter 參數的可篩選內容。
ContentFilterLanguage/此值可指定用於內容篩選器字串搜尋的語言。
BadItemLimit/此值可指定要求遇到損毀郵件時，MRS 將略過的錯誤項目數。
BadItemsEncountered/此值可指定命令遇到的損毀郵件數。如果 BadItemsEncountered 的數量大於 BadItemLimit，則要求將失敗。
QueuedTimeStamp/此值可指定 MRS 啟動要求的時間。
StartTimestamp/值可指定 MRS 開始處理匯出的日期和時間。
LastUpdateTimeStamp/此值可指定上次對要求進行變更的日期和時間。可能已由系統管理員或 MRS 進行變更。
CompletionTimeStamp/此值可指定完成要求的日期和時間。
SuspendedTimeStamp/此值可指定擱置要求的日期和時間。如果並未擱置要求，則此值將為空白。
OverallDuration/此值可指定完成要求所用的時間。如果要求處於已失敗狀態，則此值可指定從啟動要求至要求失敗所用的時間。如果尚未完成要求，則此值可指定從啟動要求到執行 Get-MailboxExportRequestStatistics Cmdlet 所用的時間。
TotalSuspendedDuration/這個值會指定要求處於「已擱置」狀態的時間長度。
TotalFailedDuration/此值可指定要求處於已失敗狀態所用的時間。
TotalQueuedDuration/此值可指定要求處於已排入佇列狀態所用的時間。
TotalInProgressDuration/這個值會指定要求處於「進行中」狀態的時間長度。
TotalStalledDueToHADuration/這個值會指定要求因為高可用性而延遲的時間長度。
TotalTransientFailureDuration/此值可指定由於暫時資料庫失敗導致要求處於已停止狀態所用的時間。
MRSServerName/此值可指定處理要求之 Client Access Server 的名稱。
EstimatedTransferSize/此值可指定匯出要求仍處於進行中時，所匯出或 MRS 預期要匯出的檔案大小。
EstimatedTransferItemCount/此值可指定要求處於進行中狀態時，所匯出或 MRS 預期要匯出的項目數量。
BytesTransferred/此值可指定已傳輸的位元組數量。
BytesTransferredPerMinute/此值可指定每分鐘已傳輸的位元組平均數量。
ItemsTransferred/此值可指定已傳輸的項目數量。
PercentComplete/此值可指定已完成要求的百分比。
PositionInQueue/如果要求尚未啟動，則此值可指定要求在佇列中的位置。
FailureCode/如果出現失敗，則此值可指定錯誤碼。
FailureType/如果出現失敗，則此值可指定失敗類型。
Message/如果出現失敗，則此值可指定失敗訊息。此值也可指定擱置註解。
FailureTimestamp/如果要求失敗，則此值可指定要求失敗的日期和時間。
IsValid/此值可指定匯出要求是否有效。
ValidationMessage/如果匯出要求無效，則此值可指定原因。
RequestGUID/此值可指定匯出要求的 GUID。
RequestQueue/此值可指定 MRS 在哪個資料庫上儲存匯出要求的詳細狀態。
Identity/此值可指定要求的識別碼。
Report/如果在使用 Get-MailboxExportRequest Cmdlet 時指定了 IncludeReport 參數，則此值可指定可用於對要求進行疑難排解的資訊。

移除信箱匯出要求

https://technet.microsoft.com/zh-tw/library/ff607298(v=exchg.141).aspx
上次修改主題的時間： 2012-07-23
您無法使用 Exchange 管理主控台 (EMC) 移除匯出要求。您必須使用命令介面。
-此範例會移除信箱匯出要求 Ayla\MailboxExport。
Remove-MailboxExportRequest -Identity "Ayla\MailboxExport"
-此範例會使用 RequestGuid 參數，取消針對 MBXDB01 上信箱或封存的信箱匯出要求。
注意事項附註：
RequestGuid 參數僅應該用於偵錯或疑難排解。
Remove-MailboxExportRequest -RequestQueue MBXDB01 -RequestGuid 25e0eaf2-6cc2-4353-b83e-5cb7b72d441f
如需詳細的語法及參數資訊，請參閱 Remove-MailboxExportRequest。
https://technet.microsoft.com/zh-tw/library/ff607464(v=exchg.141).aspx

使用命令介面移除多個信箱匯出要求
-此範例會移除狀態為 [已完成] 的所有信箱匯出要求。
Get-MailboxExportRequest -Status Completed | Remove-MailboxExportRequest
如需詳細的語法及參數資訊，請參閱
Get-MailboxExportRequest https://technet.microsoft.com/zh-tw/library/ff607479(v=exchg.141).aspx
Remove-MailboxExportRequest https://technet.microsoft.com/zh-tw/library/ff607464(v=exchg.141).aspx

問題排解：

參考網址：Justin Lau 的 IT世界 https://dotblogs.com.tw/swater111/2014/10/22/147047

第一次想使用New-MailboxExportRequest是你可能會遇見這一個錯誤訊息
The Term “New-MailboxExportRequest” is not recognized as the name of a cmdlet.
其實是因為匯出郵箱並不是預設擁有的一個權限, 而必須後期附加給會處理這工作的人員, 例如要附加給Administrator帳號
New-ManagementRoleAssignment –Role “Mailbox Import Export” –User Administrator
輸入指令後關閉Powershell視窗重開即可

New-MailboxExportRequest產生檔案時可能會遇見這一個錯誤訊息: Access to the path xxxx is denied. 盡管你可能在電腦上的確能存取該路徑.
但New-MailboxExportRequest其實是使用Exchange Trusted SubSystem這個權限來存取目錄的
所以在目標路徑我們必須把Exchange Trusted Subsystem加入到這個目錄的存取清單中 

最後跟Move Mailbox一樣, 事項後應該把完成的工作Request清除. 使用指令:
Get-MailboxExportRequest | where {$_.status -eq "Completed"} | Remove-MailboxExportRequest

補充：遇到錯誤時在指令之 後加上參數-verb可查看執行的過程中的詳細內容。
例如：New-MailboxExportRequest -Mailbox alex -FilePath \\exmail\bk\alex.pst -verb

常用工具 Windows Tools - msconfig, taskmgr, msinfo32, regedit, gpedit

這是一些常用的Windwos內建工具，通常是從「開始」-->「執行」中輸入指令就可以開啟。
工具本身通常存放於C:\WINNT\System32或C:\WINDOWS\System32之中。

MSCONFIG 系統設定

開啟方式: 「開始」-->「執行」-->「msconfig」

常用於調整開機時會啟動的服務或程式。
Windows 10 的啟動項目已整合進「工作管理員」中。

TASKMGR 工作管理員

開啟方式1: 「開始」-->「執行」-->「taskmgr」
開啟方式2: 「Ctrl」+「Alt」+「Del」-->「工作管理員」
開啟方式3: 在Windows的開始列上按右鍵，選擇「工作管理員」

常用於查看或停止/強制停止程序、觀看系統目前的資源使用情況
Windows 10 之後 加入了歷程記錄，便於瞭解程式執行的生命週期中佔用的資源。
並將開機載入程序管理與服務管理也一併整合進來了。

MSINFO32 系統資訊

開啟方式: 「開始」-->「執行」-->「msinfo32」

可查看完整的系統相關資訊與部份硬體資訊…
完整硬體資訊建議使用AIDA64( 原廠連結 | 阿榮介紹 )
另外，在Windows 10裡常用來區隔的版本(Ex. 1607, 1703...)反而看不到，
需透過[開始] 輸入並開啟 [關於您的電腦] 才能看到。

REGEDIT 登錄編輯程式

開啟方式: 「開始」-->「執行」-->「regedit」

可編輯Windows登錄檔內容，記得異動前先對左邊的「電腦」匯出完整備份。

GPEDIT 本機群組原則

開啟方式: 「開始」-->「執行」-->「gpedit.msc」

可編輯、查看Windows的本機群組原則

Control NetConnections 控制台-網路連線

開啟方式1: 「開始」-->「執行」-->「control netconnections」
可快速開啟網路連線進行網路介面的啟/停用或細項設定。

常用指令 Windows Command - ipconfig, ping, tracert, nslookup, net, netsh, dcdiag

IPCONFIG

C:\>IPCONFIG /?
使用方式:
        ipconfig [/allcompartments] [/? | /all |
                                 /renew [adapter] | /release [adapter] |
                                 /renew6 [adapter] | /release6 [adapter] |
                                 /flushdns | /displaydns | /registerdns |
                                 /showclassid adapter |
                                 /setclassid adapter [classid] |
                                 /showclassid6 adapter |
                                 /setclassid6 adapter [classid] ]

其中
    adapter             連線名稱
                       (允許使用萬用字元 * 與 ?，請見範例)
    選項:
       /?               顯示此說明訊息。
       /all             顯示完整設定資訊。----- (常用於查看網卡MAC)
       /release         釋放指定介面卡的 IPv4 位址。
       /release6        釋放指定介面卡的 IPv6 位址。
       /renew           更新指定介面卡的 IPv4 位址。
       /renew6          更新指定介面卡的 IPv6 位址。
       /flushdns        清除 DNS 解析快取。-----(常用於/registerdns之後)
       /registerdns     重新整理所有 DHCP 租用並重新登錄 DNS 名稱。
       /displaydns      顯示 DNS 解析快取的內容。
       /showclassid     顯示介面卡所有允許的 DHCP 類別識別碼。
       /setclassid      修改 DHCP 類別識別碼。
       /showclassid6    顯示介面卡允許的所有 IPv6 DHCP 類別識別碼。
       /setclassid6     修改 IPv6 DHCP 類別識別碼。

預設是僅顯示每個繫結到 TCP/IP 之介面卡的 IP 位址、子網路遮罩及預設閘道。
對於 Release 與 Renew，如果沒有指定介面卡名稱，則會釋放或更新所有繫結到
TCP/IP 介面卡的 IP 位址租用。
對於 Setclassid 與 Setclassid6，如果沒有指定 ClassId，則將移除 ClassId。

範例:
    > ipconfig                       ... 顯示資訊
    > ipconfig /all                  ... 顯示詳細資訊
    > ipconfig /renew                ... 更新所有介面卡----- (常用於DHCP重取IP)
    > ipconfig /renew EL*            ... 更新所有名稱開頭為 EL 的連線
    > ipconfig /release *Con*        ... 釋放所有符合的連線，
       例如 "Wired Ethernet Connection 1" 或 "Wired Ethernet Connection 2"
    > ipconfig /allcompartments      ... 顯示所有區間的相關資訊
    > ipconfig /allcompartments /all ... 顯示所有區間的詳細資訊

PING

C:\>PING /?
使用方式: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
            [-r count] [-s count] [[-j host-list] | [-k host-list]]
            [-w timeout] [-R] [-S srcaddr] [-c compartment] [-p]
            [-4] [-6] target_name
選項:
    -t             Ping 指定的主機，直到停止。
                   若要查看統計資料並繼續，請按 Control-Break;
                   若要停止，請按 Control-C。
    -a             將位址解析為主機名稱。----(一般來說....有跟沒有一樣)
    -n count       要傳送的回應要求數目。
    -l size        傳送緩衝區大小。
    -f             在封包中設定 Don't Fragment 旗標 (僅 IPv4)。
    -i TTL         存留時間。
    -v TOS         服務類型 (僅 IPv4。此設定已過時，而且對 IP 標頭中的
                   服務類型欄位沒有影響)。
    -r count       記錄路由以供計算躍點 (僅 IPv4)。
    -s count       供計算躍點的時間戳記 (僅 IPv4)。
    -j host-list   鬆散的主機清單的來源路由 (僅 IPv4)。
    -k host-list   嚴格的主機清單來源路由 (僅 IPv4)。
    -w timeout     每個回覆的等候逾時 (單位為毫秒)。
    -R             也使用路由標頭測試反向路由 (僅 IPv6)。
                   根據 RFC 5095，已不再使用此路由標頭。如果使用此標頭，某些
                   系統可能會捨棄回應要求。
    -S srcaddr     要使用的來源位址。
    -c compartment 路由區間識別碼。
    -p             對 Hyper-V 網路虛擬化提供者位址執行 Ping。
    -4             強制使用 IPv4。
    -6             強制使用 IPv6。

範例:
> ping 168.95.1.1 -t

TRACERT

C:\>tracert /?
使用方式: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout]
               [-R] [-S srcaddr] [-4] [-6] target_name
選項:
    -d                 不要將位址解析為主機名稱。
    -h maximum_hops    搜尋目標所用的最大躍點數目。
    -j host-list       鬆散的主機清單來源路由 (僅 IPv4)。
    -w timeout         每個回覆的等候逾時 (毫秒)。
    -R                 追蹤來回路徑 (僅 IPv6)。
    -S srcaddr         要使用的來源位址 (僅 IPv6)。
    -4                 強制使用 IPv4。
    -6                 強制使用 IPv6。

範例:
> tracert -w 300 168.95.1.1

NSLOOKUP (DNS查詢/測試工具)

常用於查詢DNS解析，檢驗DNS設定是否正常。

C:\>nslookup /?
使用方式:
   nslookup [-opt ...]             # 使用預設伺服器的互動模式
   nslookup [-opt ...] - server    # 使用 'server' 的互動模式
   nslookup [-opt ...] host        # 只查閱使用預設伺服器的 'host'
   nslookup [-opt ...] host server # 只查閱使用 'server' 的  'host'

 範例:
> nslookup google.com -----(查詢DNS正向解析=>得到IP)
> nslookup google.com 8.8.8.8  -----(指定用8.8.8.8進行DNS正向解析)
> nslookup 8.8.8.8 -----(查詢DNS反向解析=>若對方有設定，可得到網址) 

指令操作模式:
C:\> nslookup
指定查詢的記錄型態:

SOA:開始驗證 (Start of Authority) 的縮寫，可視為該網域最重要的NS
NS:該網域的DNS主機
A:主機----(預設的查詢記錄型態)
CNAME:別名主機
MX:郵件主機
ANY:所有能查到的任何記錄

> set type=mx
> gmail.com
> gmail.com
伺服器:  xxx
Address:  xxx
未經授權的回答:
gmail.com       MX preference = 30, mail exchanger = alt3.gmail-smtp-in.l.google.com
gmail.com       MX preference = 10, mail exchanger = alt1.gmail-smtp-in.l.google.com
gmail.com       MX preference = 20, mail exchanger = alt2.gmail-smtp-in.l.google.com
gmail.com       MX preference = 40, mail exchanger = alt4.gmail-smtp-in.l.google.com
gmail.com       MX preference = 5, mail exchanger = gmail-smtp-in.l.google.com
gmail-smtp-in.l.google.com      internet address = 64.233.187.26 

指定要使用查詢主機(可用網址或IP)，執行後nslookup會改以這部主機進行查詢與回應。但是並不會影響到系統的dns設定值。
> server dns.hinet.net
> server 168.95.1.1
預設伺服器:  dns.hinet.net
Address:  168.95.1.1
> google.com
伺服器:  dns.hinet.net
Address:  168.95.1.1
未經授權的回答:
名稱:    google.com
Addresses:  2404:6800:4008:803::200e
          216.58.200.46 

DCDIAG 目錄伺服器診斷工具(Windows Server適用)

C:>dcdiag /?
dcdiag.exe /s:<Directory Server>[:<LDAP Port>] [/u:<Domain>\<Username>
/p:*|<Password>|""]
           [/hqv] [/n:<Naming Context>] [/f:<Log>] [/x:XMLLog.xml]
           [/skip:<Test>] [/test:<Test>] 

…超長…
詳請參閱 TechNet 論壇 https://technet.microsoft.com/zh-tw/library/cc731968(v=ws.10).aspx 

常用:
C:\> DCDIAG /Test:DNS -----(進行診斷測試，瞭解DNS服務狀)
C:\> DCDIAG /DNSBasic -----(進行基本診斷測試)

NET

C:\>net /?
這個命令的語法是:
NET
    [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |
      HELPMSG | LOCALGROUP | PAUSE | SESSION | SHARE | START |
      STATISTICS | STOP | TIME | USE | USER | VIEW ]
NET HELP
command
     -或-
NET command /HELP
  可用的命令有:
  NET ACCOUNTS             NET HELPMSG              NET STATISTICS
  NET COMPUTER             NET LOCALGROUP           NET STOP
  NET CONFIG               NET PAUSE                NET TIME
  NET CONTINUE             NET SESSION                NET USE
  NET FILE                 NET SHARE              NET USER
  NET GROUP                NET START                NET VIEW
  NET HELP
  NET HELP NAMES 說明 NET HELP 語法行中的各種名稱類型。
  NET HELP SERVICES 列出您可以啟動的一些服務。
  NET HELP SYNTAX 說明如何閱讀 NET HELP 語法行。
  NET HELP command | MORE 以一次一頁螢幕的方式來顯示說明。

範例:
> net start -----(列出可啟始的網路服務)
> net start SERVICE_NAME-----(啟始 指定的 網路服務)
> net stop SERVICE_NAME-----(停止 指定的 網路服務)
常用於操作系統中的網路服務(Ex. snmp, dhcp client, eventlog...)
有用windows架站的朋友，常用於操作apache, mysql, tomcat.....之類的網路服務

NET USE
查看或設定網路共用目錄
C:\>net use /?
這個命令的語法是:
NET USE
[devicename | *] [\\computername\sharename[\volume] [password | *]]
        [/USER:[domainname\]username]
        [/USER:[dotted domain name\]username]
        [/USER:[username@dotted domain name]
        [/SMARTCARD]
        [/SAVECRED]
        [[/DELETE] | [/PERSISTENT:{YES | NO}]]
NET USE {devicename | *} [password | *] /HOME
NET USE [/PERSISTENT:{YES | NO}] 

範例:
> net use -----(列出目前的共用資料夾使用情況)
> net use \\192.168.1.1\Share -----(開啟指定路徑的共用資料夾)
> net use h: \\192.168.1.1\Share PASSWORD /user:USERNAME               ----(依指定使用者、密碼，將共用資料夾掛載為該磁碟代號的網路磁碟)
> net use \\192.168.1.1\Share /delete (刪除/中斷使用的共用資料夾)
> net use h: /delete -----(刪除/中斷掛載的網路磁碟)
NET的延伸閱讀：
net指令教學    http://ocean2002n.pixnet.net/blog/post/88734895 

 NETSH

C:\>netsh /?
使用方式: netsh [-a AliasFile] [-c Context] [-r RemoteMachine] [-u [DomainName\]UserName] [-p Password | *] [Command | -f ScriptFile]
下列是所有可用的命令:
這個內容中的命令:
?              - 顯示命令清單。
add            - 新增項目清單中的設定項目。
advfirewall    - 變更到 `netsh advfirewall' 內容。
branchcache    - 變更到 `netsh branchcache' 內容。
bridge         - 變更到 `netsh bridge' 內容。
delete         - 刪除項目清單中的設定項目。
dhcpclient     - 變更到 `netsh dhcpclient' 內容。
dnsclient      - 變更到 `netsh dnsclient' 內容。
dump           - 顯示設定指令檔。
exec           - 執行指令檔。
firewall       - 變更到 `netsh firewall' 內容。
help           - 顯示命令清單。
http           - 變更到 `netsh http' 內容。
interface      - 變更到 `netsh interface' 內容。
ipsec          - 變更到 `netsh ipsec' 內容。
lan            - 變更到 `netsh lan' 內容。
mbn            - 變更到 `netsh mbn' 內容。
namespace      - 變更到 `netsh namespace' 內容。
netio          - 變更到 `netsh netio' 內容。
p2p            - 變更到 `netsh p2p' 內容。
ras            - 變更到 `netsh ras' 內容。
rpc            - 變更到 `netsh rpc' 內容。
set            - 更新組態設定。
show           - 顯示資訊。
trace          - 變更到 `netsh trace' 內容。
wcn            - 變更到 `netsh wcn' 內容。
wfp            - 變更到 `netsh wfp' 內容。
winhttp        - 變更到 `netsh winhttp' 內容。
winsock        - 變更到 `netsh winsock' 內容。
wlan           - 變更到 `netsh wlan' 內容。 

下列是可使用的子內容:
 advfirewall branchcache bridge dhcpclient dnsclient firewall http interface ipsec lan mbn namespace netio p2p ras rpc trace wcn wfp winhttp winsock wlan
如果您要檢視命令的說明，請輸入該命令，後面接著一個空格，然後輸入 ?。 

變更所在內容:
C:\> netsh
netsh> interface
netsh interface> ipv4
netsh interface ipv4> show ? -----(可查看show之下支援的命令)
netsh interface ipv4> show interface -----(查看所有網路介面的資訊)
netsh interface ipv4> show address "Wi-Fi" -----(查看Wi-Fi這張網卡的IP位置資訊) 

另一種查詢方法:
C:\>netsh interface show interface -----(查看所有網路介面的資訊)
C:\>netsh interface show address "區域連線1" -----(查看"區域連線1"這張網卡的IP位置資訊) 

也支援不完整指令的輸入方法:
C:\>netsh int sh int -----(查看所有網路介面的資訊) 

常用到的:
C:\>netsh int ipv4 set address name="區域連線1" source=dhcp
     -----(設定該網路介面的IP為DHCP)
C:\>netsh int ipv4 set dnsservers name="區域連線1" source=dhcp
     -----(設定該網路介面的DNS為DHCP)
C:\>netsh int ipv4 set address "區域連線1" static 1.1.1.1 255.255.255.0 1.1.1.254 1
     -----(設定該網路介面IP、遮罩、閘道、計量)
C:\>netsh int ipv4 add address "區域連線1" gateway=10.0.0.3 gwmetric=2
     -----(新增該網路介面的閘道、計量)C:\>netsh int ipv4 set dnsservers "區域連線1" static 10.0.0.1 primary -----(設定該網路介面的DNS為靜態IP)
C:\>netsh firewall add portopening protocol = UDP port =123 name = NTPSERVICE     -----(設定防火牆開UDP埠123規則名稱為NETSERVICE)

參考資料:
James LAB http://www.james-tw.com/windows/windows-netsh-zhi-ling-cao-zuo

Windows Server Update Services (WSUS) 建置記錄

能夠部署最新的 Microsoft 產品更新。 WSUS 是 Windows Server 伺服器角色，可以安裝以管理和散佈更新。 WSUS 伺服器也可以是組織內其他 WSUS 伺服器的更新來源。 做為更新來源的 WSUS 伺服器稱為「上游伺服器」。 在 WSUS 實作中，網路中至少要有一部 WSUS 伺服器必須連線到 Microsoft Update，以取得可用的更新資訊。 系統管理員可以根據網路安全性和設定，決定有多少其他伺服器可以與 Microsoft Update 直接連線。

步驟 1：準備部署 WSUS

步驟 2：安裝 WSUS 伺服器角色

步驟 3：設定 WSUS 伺服器 與 用戶端

步驟 4：核准和部署 WSUS 更新

步驟 X：WSUS上線過程過到的毛毛整理記錄
參考資料

步驟 1：準備部署 WSUS

重點註記：

1. 評估足夠空間，WSUS會因為所選擇的產品項目而有不同的下載容量需求。
   本次測試勾選：Windows Server 2003,2008,2012, Windwos XP,7與IE更新等項目，所佔用空間約431GB(包括DB-WDI)...重點在於勾選產品時並不會告訴你需準備多少容量，直到開始同步時才會告訴你空間不足...所以...可以的話盡量多預留一些空間讓WSUS存放吧。
2. 關於硬體需求的部份，在四核8GB的VM環境下跑(實體為Xeon E5620*2)，在開啟WSUS管理員和報表時，還是會卡一下…但觀察記憶體實際用量平均落在4.3GB，所以8GB應該是比較適合的。除非還有身兼其它角色。
3. 即使已有AD環境，WSUS也不一定要安裝於加入AD網域的系統上。

步驟 2：安裝 WSUS 伺服器角色

1. 在 [伺服器管理員] 中的 [新增角色及功能]可以進行WSUS角色的安裝，安裝過程可以設定是否仍有上層WSUS主機(如果該WSUS是要做為備機或異地更新來源時)。

步驟 3：設定 WSUS

1. 設定網路連線
   進行網路相關設定包括本機與網路環境，確保WSUS與M$ Update、WSUS 伺服器之間以及WSUS伺服器與用戶端之間的服務是暢通的(2012以前使用80,443 Port；2012以後使用8530,8531)
2. 使用 WSUS 設定精靈設定 WSUS
   在 [伺服器管理員] 瀏覽窗格中，依序按一下 [儀表板]、[工具]，或是 [開始]、[ 所有程式 ]、[系統管理工具]中均可開啟WSUS管理工具[Windows Server Update Services]。接下來，只要繼續設定要接收更新系統語系、M$產品別、同步時間排程即可，完成設定後WSUS的管理介面就可以看到同步進度。
3. 設定電腦群組
   在 WSUS 系統管理主控台中建立電腦群組(例如：[已指派的電腦]，以管理組織中的更新。
4. 設定用戶端更新
   指定將自動更新套用到用戶端電腦的方式和時機。
   AD環境可透過GPO將使用本地端WSUS進行更新的設定套用至AD內指定的使用者、電腦、群組。
   非AD環境也可以在用戶端執行gpedit.msc來調整Windows Update的來源。
   
   在 GPMC 中依序展開 [電腦設定]、[原則]、[系統管理範本] 、 [Windows 元件] 、[Windows Update]，可設定 [設定自動更新] 與 [設定偵測更新的近端內部網路更新服務]。這部份可參考MIS背影中的建議，將SERVER與CLINET分成兩個GPO各別套用。
   Server：自動下載更新，通知我安裝選項
   Client：固定時間自動下載排程安裝
5. 使用安全通訊端層通訊協定來確保 WSUS 的安全
   設定安全通訊端層 (SSL) 通訊協定，以協助保護 Windows Server Update Services (WSUS)。
   事實上…我覺得沒有必要進行此項設定…
6. 用戶端測試
   假定有一部Win7已經加入網域，當GPO設定完畢後，預設約90-120分鐘 PC端才會套用此設定。
   
   PC端執行「gpupdate /force」 可強制套用GPO-WSUS
   PC端執行「gpresult /z」可檢查已套用的GPO有哪些，來查看是否有成功套用。
   GPO成功套用後 用戶端的Windows Update 設定就會無法更動

步驟 4：核准和部署 WSUS 更新

1. 核准和部署 WSUS 更新
   使用 WSUS 管理主控台來核准和部署 WSUS 更新。
   在 WSUS 管理主控台上按一下 [更新]。 右窗格會顯示 [所有更新]、[重大更新]、[安全性更新] 以及 [WSUS 更新] 的更新狀態摘要。
   
   在 [所有更新] 中可對於尚未核準的更新進行選擇(可用SHIFT與CTRL進行複選)，按右鍵進行 [核淮]。
2. 設定自動核准規則
   設定 WSUS 來自動核准安裝所選群組的更新，以及如何核准現有更新的修訂。
   
   開啟 WSUS 管理主控台，在 [Update Services] 的 [選項]中，按一下 [自動核准]。
   在 [更新規則] 中，進行 [新增規則]。
3. 使用 WSUS 報告檢閱安裝的更新
   使用 WSUS 報告功能檢閱已經安裝的更新、接收這些更新的電腦及其他詳細資料。

步驟 X：WSUS 上線後的毛毛

1. 用戶端進行Windows Update時出現錯誤 0x80072EE2 0x80244010 ...
   可能原本在微軟的Windows Update上看到的Patch更新，但尚未下載到本機端，就改成內部的WSUS Server，而內部的WSUS Server並沒有這隻Patch，所以導致更新失敗。
   
   解決方式：
   用戶端執行「DOS Script to Reset Windows Update Agent」
   https://gallery.technet.microsoft.com/scriptcenter/Dos-Command-Line-Batch-to-fb07b159
   將更新服務停止後移除暫存檔與登錄檔，再重啟服務。
   
   伺服器端在WSUS管理主控台的 [選項] 中執行「伺服器清理精靈」，全選清除即可。
   如果遇到內容太多導致錯誤，也可分次清除。

參考資源：

Microsoft MSDN - 在組織中部署 Windows Server Update Services

https://msdn.microsoft.com/zh-tw/library/hh852340

MIS的背影 - Windows Server 2012 筆記(一) WSUS 4.0 安裝設定

http://blog.pmail.idv.tw/?p=3914

Microsoft  Community - WSUS 用戶端無法更新資料
https://answers.microsoft.com/zh-hant/windows/forum/windows_7-update/wsus/3f9fa04c-6821-451b-a8ab-20266645e846

FrozenBlue - WSUS Clients 無法偵測回報問題
http://frozenblue2.blogspot.tw/2016/01/wsus-clients.html

關於轉移 Active Directory 五大角色(FSMO)與DCDiag發生NCSecDesc錯誤的記錄

源起....某日某甲為了測試功能，將現行AD五角移至另一部DC身上。
過了一段時間，需要修改GPO時才發現無法套用至用戶端的情況。也才發現五角換人的情況。
於是…只好再把服務搬回來，中間有些插曲，在此留下記錄…

使用以下指令查詢目前  FSMO 五大角色：

netdom query fsmo

轉移 FSMO 五大角色，須用以下工具（在要移轉為AD的系統上）：

• Active Directory 使用者和電腦 (Active Directory Users and Computers)
  開啟後在網域節點(abc.com)執行「操作主機」
  可變更 RID 集區管理員、PDC 與 基礎結構 這三種角色
• Active Directory 網域及信任 (Active Directory Domains and Trusts)
  開啟後在網域節點(abc.com)執行「操作主機」
  可變更 網域命名操作主機 角色
• Active Directory 架構 管理單元 ( 需透過 MMC 主控台加入「Active Directory 架構」元件 )
  須先利用命令提示字元先註冊 schmmgmt.dll 元件，
  註冊完後才能在 MMC 主控台中看見 Active Directory 架構 管理單元，開啟後需先變更網域控制站主機，才能變更架構主機。
  可變更 架構主機 角色

C:\>Regsvr32 schmmgmt.dll

再次查詢五角可得知設定是否成功。
或以DCDiag進行DC檢測，查看有無錯誤

C:\>DCDiag /v 

問題在NCSecDesc 測試時出現錯誤
這個主要是在測試系統是否有足夠權限進行目錄的變更，所以，如果出現的是
「{Domain}\ENTERPRISE DOMAIN CONTROLLERS」沒有存取權限，要用adsiedit.msc來開權限給它。

如果出現的錯誤是「NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS」端看是否要將當前DC加入RODC，要的話需繼續進行adprep /rodcprep，不然是可以忽略的。



參考資訊：

• Microsoft Support: Dcdiag fails for NCSecDesc test on Windows 2008 Domain Controllers
  https://support.microsoft.com/zh-tw/kb/967482
• Will保哥-如何轉移 Active Directory 五大角色(FSMO)至其他網域主控站http://blog.miniasp.com/post/2012/07/16/How-to-transfer-Active-Directory-FSMO-to-another-Domain-Controller.aspx
• neo2124-正常移轉 FSMO 五大角色
  http://neo2124.pixnet.net/blog/post/24215437
• Will保哥-網域控制站執行 DCDiag 發現 NCSecDesc 測試失敗的解法http://blog.miniasp.com/post/2011/02/11/Enterprise-Read-only-Domain-Controllers-Replicating-Directory-Changes-not-found.aspx

最後，補充一下FSMO (Flexible Single Master Operations) 五大角色分別為：

架構主機 (Schema Master)：
負責更新目錄整個 Forest 只有 1 台。
預設值為：Root Domain 的第 1 台 DC。
有權力操作的群組： Schema Admins 群組才有資格修改 Schema 的內容。
操作的工具，必須先經過註冊。(如：Regsvr32 schmmgmt.dll )。
需使用 mmc 掛入＂Active Directory 架構＂嵌入式管理單元。
Schema 中的資料會複製到 Forest 中的每 1 台 DC。架構。

網域命名主機 (Domain Naming Master)：
負責變更樹系網域目錄名稱空間。
功能：控制 Forest 中，新增移除網域的行為。
整個 Forest 只有 1 台。
預設值為：Root Domain 的第 1 台 DC。
有權力操作的群組：Enterprise Admins。
操作的工具：Active Directory 網域及信任。

基礎結構主機 (Infrastructure Master)：
跨網域物件參照中，負責更新物件 SID 與辨別名稱。
功能：確保網域內建操作的物件一致性。
避免與 GC 同一台。
每一個 Domain 都有 1 台。
預設值為：每一個 Domain 的第 1 台 DC。
有權力操作的群組：Domain Admins。
操作的工具：Active Directory 使用者及電腦。

RID 集區管理員 (RID Master)：
負責處理 RID (Relative ID) 集區中來自給定的網域的所有 DC 要求。
功能：分配 RID 的號碼給所有 DC，避免物件(object)的 SID 重複。
每一個 Domain 都有 1 台。
預設值為：每一個 Domain 的第 1 台 DC。
有權力操作的群組：Domain Admins。
操作的工具：Active Directory 使用者及電腦。

PDC操作主機 (PDC Emulator)：
對舊版的工作站、成員伺服器與網域控制站宣稱自己為主要網域控制站 (PDC)。
功能：模擬 Windows 2000 前版(NT4.0)的 PDC 角色。
網域中時間同步化的主要伺服器。
預設為修改群組原則(GPO)的主要伺服器。
每一個 Domain 都有 1 台。
預設值為：每一個 Domain 的第 1 台 DC。
有權力操作的群組：Domain Admins。
操作的工具：Active Directory 使用者及電腦。

若要查詢目前 AD 環境中 FSMO 五大角色座落於哪幾台網域控制站主機，可以使用以下指令查詢：

netdom query fsmo

轉移 FSMO 五大角色，必須用到以下兩個工具（都內建於 AD CS 角色中）：

Active Directory 使用者和電腦 (Active Directory Users and Computers)
可變更 RID 集區管理員、PDC 與 基礎結構 這三種角色
Active Directory 網域及信任 (Active Directory Domains and Trusts)
可變更 網域命名操作主機 角色
Active Directory 架構 管理單元 ( 需透過 MMC 主控台加入 )
可變更 架構主機 角色