在AD命名最佳实践的主题上,我非常认真地阅读了serverfault.com上的这个Q / A , 这个Samba FAQ和各种微软的文档。 我100%同意一般的build议:使用您的主域名(即: ad.example.com )的合适的子域名作为您的AD名称。 但是,使用这样的设置时,我想知道如何正确pipe理可以在内部networking和远程连接上的移动主机(例如笔记本电脑和智能手机)。 举一个实际的例子,我们来考虑一个带有内部邮件服务器的简单邮件客户端设置。 有了专门的三级域名( ad.example.com ),我有两个select: 使用mail.ad.example.com设置内部邮件客户端:在networking内部工作良好的情况下,当客户端处于远程连接时,会失败。 要求用户更改邮件configuration是绝对不切实际的,所以我们完全放弃这个选项; 使用外部域名设置内部邮件客户端,所以mail.example.com :这应该适用于内部和外部客户端,但内部通信stream量是次优的,因为客户端使用公共 IP地址parsing内部邮件服务器地址,所以stream量在边缘防火墙上来回跳动。 这会导致设备的负载增加,而UTM防火墙甚至更糟糕,因为这些防火墙深度检查(仅限于内部)stream量。 你如何应对上述情况? 你是否接受并增加边缘防火墙的负载? 我知道这个问题可以通过拆分DNS命名scheme完全避免(例如,在外部和内部DNS上的example.com )。 然而,这个命名scheme有它自己的缺点,并且(通常)不被推荐。
我使用Powershell中的“manage-bde”来远程检查域计算机上Bitlockerencryption的状态。 我们有几个连接的域,但是这让我们说Domain1和Domain2。 当我尝试从Domain1中的计算机上运行manage-bde查询domain2中的远程计算机时,由于使用我当前login的Domain1的凭据,因此我得到“拒绝访问”。 有没有办法使用Domain2的凭据login到Domain1时运行manage-bde?
我有一个现有的Active Directory。 其中有一些服务帐户。 这些服务帐户用于在Linux和Windows上启动应用程序。 我们的应用程序使用多种语言编写。 其中一些应用程序正在调用内部REST API提供程序。 REST API提供程序必须能够检查调用者的身份(用于启动应用程序的服务帐户)。 我们想要使用基本的身份validation。 我们不想使用Kerberos,因为我们使用不同编程语言和不同平台上的多种types的客户端。 所以我的问题是我可以采取什么解决scheme来满足上述要求? 情况如下:应用程序用他知道的一些用户名/密码调用其余的api(但密码必须不同于我无权访问的AD服务帐户的密码),并且api提供者调用AD检查他们是有效的凭据。
在Windows Server 2016 Essentials中,我将删除AD。 我已经删除了Active Directory证书服务下的所有内容。 试图降级服务器时,我被告知已安装证书服务器。 如何卸载证书服务器?
我知道Kerberos可以使用PKI ,PKI 提供encryption和authenticationfunction , Kerberos的devise更多是用于身份validation而不是encryption , Microsoft通过“使用Active Directory作为其帐户数据库”来实现 Kerberos KDC,Active Directory允许您使用证书而不是密码 。 所以如果你使用X.500目录和PKI,为什么要使用Kerberos呢? 难道你不能保持X.500的非Kerberos任务(例如,与memberOf组成员查询),并用PKIreplaceKerberos?
我有一个通过Find-AdmPwdExtendedRights计算机对象的列表https://github.com/leoloobeek/LAPSToolkit 我想要一些方法来从各种计算机对象的安全删除这些权限。 我有一个CSV的: computer1.domain.com DOMAIN\userX computer2.domain.com DOMAIN\userY 等等 问题是我有数千我需要清理。 任何方式来实现这个自动化? (这是安全研究人员/红人的问题,容易发现问题,难以清理。) 感谢任何帮助,弗雷德AD的例子
呼吁所有的build议。 所以我们有一个AD域,需要configuration一个工作站作为非Windowsembedded式设备的ICS主机来实现原型演示的互联网连接。 为什么ICS讨论在域环境中使用? 另外,只要embedded式设备分配有静态IPconfiguration,手动configuration就可以正常工作。
我将Vista Business(SP1)用作客户端,将Samba服务器(Debian)用作域控制器。 当我连接到局域网时,我可以无障碍地login到域中,但是当我离线时,会收到错误消息 目前没有可用于login请求的login服务器。 无法login。 同一networking/域控制器上的其他用户可以使用他们各自的笔记本电脑在离线状态下login,所以我猜服务器不是问题。 “caching的凭据”registry项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\CachedLogonsCount始终设置为默认值10 。 我怎样才能使这个工作,以便我可以login,而不是连接到局域网?
我有一些虚拟机在一个月内还没有开启,还有一些虚拟机已经回滚到旧的状态。 他们是一个域的成员,并已经过期了机器的秘密; 从而无法再与域validation。 Event Type: Warning Event Source: LSASRV Event Category: SPNEGO (Negotiator) Event ID: 40960 Date: 14/05/2009 Time: 10:24:54 AM User: N/A Computer: TFS2008WDATA Description: The Security System detected an authentication error for the server ldap/iceland.icelava.home. The failure code from authentication protocol Kerberos was "The attempted logon is invalid. This is either due to […]
我想让我的networkingActive Directory控制。 我想通过某种启动/login脚本启用我的客户端计算机的互联网连接。 我如何做到这一点? 谢谢