Windows Server 2016 磁碟空間被塞滿了

 今天遇到了一台 Windows Server 2016 的 AD，它的磁碟空間用完了，剩餘空間為"0"。

遇到這個情形第一個動作就是去清磁碟空間，最安全的就是用內建的 "磁碟清理工具"。

針對開機所在的磁碟 C 來執行清理

執行時該程式會去找出打清除的暫存、可移除安裝檔等。

接著，要檢查的位置是 C:\Windows\Logs\CBS

CBS Cbspersist Log 檔是 Windows Module Installer service (TrustedInstaller.exe) 在安裝更新過程產生的"更新日誌"或"錯誤報告"，當然你可以從這些 Log 中查看是那些安裝出了什麼問題，需要空間時可釋放它，刪除時記得先停用 Windows Module Installer service。

下一個可以檢查的位置是 C:\Windows\SoftwareDistribution

這個位置主要是存放透過 Windows Update 下載下來的 Windows 更新檔，經過長久累積它也是相當佔用空間，需要空間時可釋放它，刪除時記得先停用 Windows Update Service，刪除結束重新後，該服務會再依現況重新下載所需更新。

以上是最檢查磁碟，可以用來釋放磁碟空間的位置，一般來說調整這幾個位置基本上就完成了。

但這次完成上面的動作，空間佔用仍沒有什麼改善，只好用 TreeSize free 來查看到底空間用去那了?

這台主機是虛擬機，C磁碟空間全沒了，而且只有一顆硬碟，只好將 TreeSize Free Portable 程式做成 ISO檔，再掛載到主機上即可。

查到大量檔案的位置是 C:\Windows\Installer，這個位置很有意思，當系統已打開所肴隱藏檔案及目錄的情況下，它並不會出現在檔案總管中 。在這個目錄你會看到一大堆的 msi 安裝檔，依Microsoft 文件指出這個路徑是 Windows Installer 快取目錄，不可隨意刪除。

=========================================================================

Windows Installer 快取可用來儲存使用 Windows Installer 安裝之應用程式的重要檔案。 根據預設，此快取位於 c：\windows\installer 資料夾中，不應刪除。 如果安裝程式快取遭到入侵，除非您採取卸載、修復或更新產品等動作，否則可能不會立即看到問題。

使用 Windows Installer 安裝產品時，重要檔案會儲存在卸載和更新應用程式所需的 Windows Installer 快取中。 因為檔案是唯一的，所以無法在電腦之間複製遺漏的檔案。

=========================================================================

以上節錄自 Microsoft 文件 "缺少 Windows Installer 快取需要重建電腦"

接來看一下有問題的 SERVER 是被什麼檔案佔用了大量空間，查看前看在檔案總管的欄位按右鍵，增加 "作者"及"標題"欄位，就可看到這些檔案是從何而來。

可以看到 645個檔案來自 Kaspersky ，每個檔案有13Mb總共佔用了 71.7GB，而且這些來自相同時間相同大小，即可能是一次塞滿整個空間。目前造成原因不明。

因為系統文件說了這個目錄不可直接刪除，以避免無法正常運作；而目刪看到的又都是 Kaspersky 產生的，所以接下來應該是移除 Kaspersky 後再來清除這個目錄下 Kaspersky產生的 msi檔，最後再重新安裝回 Kaspersky。

P.S. 最後的部份因為不是我處理，如有後續進度再更新.

Exchange Server 2016 執行 cumulative update (累積更新) 後，無法正常開啟 Exchange Administrative Center

 Exchange Server 2016 執行新的 cumulative update (累積更新) 後又遇到狀況了，更新後發現無法正常開啟 Exchange Administrative Center，雖然不是十分確定是否是更新造成的，但發生了還是要解決。

這次的問題是更新完成後，當開啟Exchange Administrative Center並完成登入後，會出現 "目前無法理這個要求。HTTP ERROR 503"

事件檢視器中則是出現大量的事件識別碼15021的 HttpEvent 錯誤， 內容是 "使用端點 0.0.0.0:444 的 SSL 設定時發生錯誤。傳回資料包含了錯誤狀態碼。"。

看來是SSL憑證有問題，檢查後發現是同一網站憑證不同造成，可在命令提示下透過以下命令來問題點

netsh http show sslcert

畫面是截取主要的三個憑證 "0.0.0.0:443"、"0.0.0.0:444"、"127.0.0.1:443"，這三個的應用程式識別碼是相同的，但"0.0.0.0:444"它的憑證雜湊卻是不相同，而 "0.0.0.0:444" 在Exchange Server 中是使用於 Exchange Back End 的網站，因為不同所以登入後轉換呼叫時才會報錯。

修改這個可透過 Internet Information Servies (IIS) 管理員來調整，開啟 IIS 管理員中的 Exchange Back End 的 "繫結"

在站台繫結中編輯 " https    444" 的站台

選擇使用中的正確SSL憑證

憑證檢視中詳細資料的 "憑證指紋" 也就上面所提到的 "憑證雜湊" 值。

 

Windows Server 2016 更新時出現 "正在搜尋這部電腦上的更新"

最近有台 Windows Server 2016，有一段時間沒有執行更新，這在資安管控上是不好的行為，但先前更新時剛好遇到 Microsoft 更新修復檔有問題，造成了部份系統異常，所以先停止了Server更新。

但資安問題及零時差攻摮不斷的被報導，還是需面對 Microsoft 的持續更新，但此次避免使用 Windows Server 2016 中 Windows Update 的更新，必竟也過經過了一段不算短的時間，也不知那些更新有問題。所以這次直接透過  Microsoft Update Catalog  先以手動的方式找出最新的更新，也減少重覆的更新。

而這個更新有區分為： "服務堆疊更新 (servicing stack update )  "與"累積更新 (cumulative update) "，兩者差異及注意事項如下

=========================================================================

[此段文章截取自 Microsoft Learn ]

什麼是服務堆疊更新？

維護堆疊更新會提供服務堆疊的修正，也即安裝 Windows 更新的元件。 此外，它包含 CBS) (「元件型服務堆疊」，這是 Windows 部署數個元素的重要基礎元件，例如 DISM、SFC、變更 Windows 功能或角色，以及修復元件。 CBS 是一個小型元件，通常不會每個月發行更新。

為何應該安裝維護堆疊更新並保持在最新狀態？

維護堆疊更新可改善更新程式的可靠性，以降低安裝最新品質更新和功能更新時的潛在問題。 如果您未安裝最新的服務堆疊更新，您的裝置可能會無法使用最新的 Microsoft 安全性修正程式進行更新。

何時發行？

服務堆疊更新會根據新問題或弱點而發行。 在少數情況下，可能需要視需要發行維護堆疊更新，以解決影響安裝每月安全性更新之系統的問題。 從 2018 年 11 月開始，新的服務堆疊更新將分類為「安全性」，嚴重性評等為「重大」。

服務堆疊更新與累積更新之間有何差異？

Windows 用戶端和 Windows Server 都使用累積更新機制，其中許多改善 Windows 品質和安全性的修正程式都會封裝成單一更新。 每個累積更新都包含所有先前更新的變更和修正。

維護堆疊更新必須與累積更新分開提供，因為它們會修改安裝 Windows 更新的元件。 服務堆疊會個別釋放，因為服務堆疊本身需要更新。 例如，累積更新 KB4284880需要2018 年 5 月 17 日維護堆疊更新，其中包括Windows Update的更新。

是否有任何特殊指引？

Microsoft 建議您先安裝作業系統的最新維護堆疊更新，再安裝最新的累積更新。

一般而言，改善是不需要任何特定特殊指引的可靠性和效能改進。 如果有任何重大影響，則會出現在版本資訊中。

安裝注意事項

• 維護堆疊更新包含完整的服務堆疊;因此，系統管理員通常只需要安裝作業系統的最新服務堆疊更新。
• 安裝服務堆疊更新不需要重新開機裝置，因此安裝應該不會造成干擾。
• 維護堆疊更新版本專屬於作業系統版本 (組建編號) ，與品質更新非常類似。
• 服務堆疊更新可以透過Windows Update來傳遞，或者您可以執行搜尋來安裝最新可用的維護堆疊更新，以Windows 10。
• 安裝維護堆疊更新之後，就無法從電腦移除或卸載。

=========================================================================

依以上說明從 Microsoft Update Catalog 下載最新的 Windows Server 2016 所需的最新更新。

下載完成開始新時又遇到問題了，執行更新程式時需先確定 "服務(Service)"中的 "Windows Update" 是在執行中，否則更新安裝程式會出現 "安裝程式出現錯誤：0x80070422" 無法啟動服務，可能因為服務己停用，或它沒有相關的啟用裝置。

 "服務(Service)"中的 "Windows Update" 在執行中安裝更新程式時又遇到了新問題，執行過程中出現 "正在搜尋這部電腦上的更新..."，而且這個過程相當的久，發生的原因是它會去比對目前是否已安裝過這個修正程式，但它應該是籨電腦中過去下載及安裝過的去比對，但不知為什麼會這麼久。

最後找到的原因可能跟更新的下載目錄內容有關，刪除更新的下載目錄為 "C:\Windows\SoftwareDistribution"，要清除這個目錄需先停用 "服務(Service)"中的 "Windows Update"，關閉該服務並刪除檔案後再次重啟服務，接下的更新就相當的順利了。

附上"服務(Service)"中的 "Windows Update" 及更新的下載目錄畫面如下

再補充一點，
更新中又遇到另一個狀況，更新程式執行時出現 "此更新不適用於你的電腦"，

而在事件檢視器中則是出現 "Windows 更新  無法安裝，因為發生錯誤 2149842967 "，

最後檢查出是 "服務(Service)"中的 "Windows Modules Installer" 未啟用。

工作站與主要網域間的信任關係失敗

電腦在登入網域時出現了 "工作站與主要網域間的信任關係失敗"，遇到此一情形該如何解決呢??

會出現此一問題主要是這台電腦存在於該網域中的認證資料有問題，因而造成信任關係失敗。而造成這個情的原因有:

1. 該主機與網域脫離時間過久(關機或不在網域環境)

2. 該主機與網域時間差異過大

3. VM主機透過快照回到先前某個時間點

除了以上所提，應還有其它可能造成的原因。

以前的處理最快的方式是將該主機退出網域後，再重新登入網域註冊一次即可；但此做法要確認本機的管理者帳號及密碼，避免退出網域後無法登入本機，可以先找出本機帳號先登入本機一次，確認沒問題再退網域。

目前的作業系統基本上均可執行 PowerShell 命令，可利用以下命令來修正此一問題

Reset-ComputerMachinePassword  重置本機電腦於網域中的密碼

Reset-ComputerMachinePassword -Server {domain} -Credential {domain\admin}

-Server {domain}                    : 網域

-Credential {domain\admin}   : 網域管理員帳戶

先以本機帳號登入

開啟   PowerShell 視窗 ，並依環境參數輸入

接著會彈出視窗要求需入密碼

 

完成後登出本機，即可再以網域帳號登入。

Office 365 安裝於 Windows 7 , 無法取得授權 (Outlook 2010 無法連上 Exchange online)

沒錯, 就是還在用 Windows 7, 

為什麼呢? 因為電腦還沒被更新。Windows 10 跑不動，更不用說 Windows 11。

舊的 Windows 7 原本搭配使用 Office 2010，就在 2022/01/13 同時發生了 Ootlook 2010 無法連上 Exchange Online 的問題，出現 "Microsoft Exchange 管理員已經封鎖您所使用的 Outlook版本。請連絡管理員以取協助。"

現有環境中是使用 Exchange Online ，而只有 Outlook 2010 發生這個問題，看來是 Microsoft 直接從源頭擋掉這個版本，可是最近沒看到Microsoft有發佈相關的消息??

搜尋後找到了幾個原因

關於 Microsoft 365 可用的Client端版本一直有被公告及更新，而主要的原因應該跟 TLS 的版本有關，Microsoft 365 陸續關閉了 TLS 1.0及TLS 2.0， Outlook 2010 存取 Exchange Online 也需同步使用 TLS 2.0，而Office 2010 已在 2020 年 10 月 13 日終止支援，當然也不會對它再修正。

Office versions and connectivity to Microsoft 365 services

Microsoft Office 2010 Lifecycle

而且在 Microsoft 365 Blog 中找到明確的說明了 Outlook 2010 將在 2022/01/11 正式的禁止使用於 Office 365。

New minimum Outlook for Windows version requirements for Microsoft 365

========================================================================

[此段文章截取自 Microsoft 365 Blog ]

We are quickly approaching the November 1st deadline when the minimum version requirements for connecting Outlook for Windows to Office 365/Microsoft 365 services will change. So, we thought we’d share more information on why we’re doing that. 

 

After November 1, 2021, only Outlook 2013 Service Pack 1 (with latest fixes) and later will be able to connect to Microsoft 365 services. It’s worth noting here that Outlook 2007, 2010, and Office 2013 versions earlier than 15.0.4971.1000 *and Office 2016 versions earlier than 16.0.4600.1000 aren’t supported now, but we know some customers just can’t quit them. 

 

Current status

 

Since our Message Center post last fall, we’ve seen a drop in the usage of the unsupported versions of Outlook for Windows – great job! If you’re still running older versions, please start working on a plan to move by November 1st. 

 

Our Customer Support team is actively reaching out to tenants that have the most usage on Outlook 2007 and 2010 to help them meet the deadline. If you have questions or concerns about getting all users off these unsupported builds, please reach out to your support teams. 

 

*As announced, the block will start rolling out on November 1st for users on Outlook 2007 and will proceed in a phased rollout. 

 

**The block has started rolling out for Outlook 2010 users on January 11, 2022 and will proceed in a phased rollout. 

========================================================================

為什麼還在使用 Office 2010 呢?

因為有些人已經習慣了舊版的操作介面，能不換就不換...

現在， 因被 Exchange Online 擋掉了， 剛好有好理由可以全部升級成 Office 365。

在 Windows 7 中安裝完 Office 365 後， Outlook當然可以正常的連上 Exchange Online，但不幸的發生了新的問題，安裝完成的 Office 365 無法線上取得 Microsoft 的授權。

Office 365的授權方式採用線上授權啟用，而不是以金鑰的方式來啟用，而這些使用 Windows 7 的電腦，在啟用授權時發生 "很抱歉, 發生暫時性的伺服器問題"

這個問題跟前面述敍也有關係，因 Microsoft 365 現在僅支援 TLS 1.2，而 Windows 7預設沒有 TLS 1.2，也因為這個原因無法傳送 Office 365 的授權啟動。

如何的在 Windows 7 中啟動 TLS 1.2呢? 

先前的這篇文章可參考

資訊安全檢測 之 TLS Service Supports Weak Cipher Suit

另外，Microsoft 也有提供比較簡單的方式

更新以在 Windows 版 WinHTTP 中啟用 TLS 1.1 和 TLS 1.2 做為預設安全通訊協定

其中提到先確認是否已更新及修正了 KB3140245，相關連結如下

 Microsoft Update Catalog

若要取得此更新的獨立套件，請前往 Microsoft Update Catalog - KB3140254 網站。

接著需再修改 機碼值，除了手動修改，文章中也提供了可自動行的 簡易修正程式。

========================================================================

[此段文章截取自 Microsoft Support ]

簡易修正程式

若要自動新增 DefaultSecureProtocols 登錄子金鑰，請按一下 MicrosoftEasyFix51044。 在 [檔案下載] 對話方塊中，按一下 [執行] 或 [開啟]，接著按照簡易修正精靈中的步驟執行。

========================================================================

執行完成上述修正，即可在 Windows 7 中啟用 Office 365。

P.S. 後話，Windows 7 也在 2020/1/14 結束了 延伸支援，如果可以還是先改用 Windows 10。

Windows 7 Lifecycle