当forestB中的用户通过RDP连接到forestA的XP系统时,我们遇到了问题。 我们正处于过渡状态,一些用户已经迁移到我们的新森林(forestB),但仍需要访问forestA中的系统。 问题是,当他们以forestB \ username的forms将他们的forestB的新login凭证input到mstsc并点击连接时,他们所连接的XP系统无法识别域(forestB),并给出错误说明确保用户名和域名是正确的。 在这一点上,他们连接,但坐在login屏幕。 login框显示他们的用户名只是没有域的用户名,所以它看起来像域名没有被传递到他们连接到的系统。 当他们在login屏幕上更改用户名以包含域名forestB \ username时,它确实让他们login。 forestB的域不会显示在下拉列表中。 因为他们能够通过手动指定域进行身份validation,所以我不认为这是信任问题,还是它? 下面是关于环境的一些信息。 old.example.com – 这是他们连接的系统所在的域(forestA) contoso.com – 这是用户帐户已迁移到(forestB) 在两个系统上RDP客户端的版本是6.1.7600 networking级别authentication已打开 example.com和contoso.com之间存在双向传递信任 old.example.com是Windows Server 2003的function级别 example.com是Windows Server 2003的function级别 contoso.com是Windows Server 2008 R2的function级别 我希望这是有道理的。 如果你需要任何额外的信息,请让我知道。
我用adsiedit放大AD的范围上限的“缩写”属性从6到12个字符。 我的DC正在运行2008R2。 现在我想为这个用户创build一个Exchange 2010邮箱,但是Exchange似乎也检查了这个字段的长度。 它会抛出这个错误:“错误:属性的长度太长,最大长度是6,提供的值的长度是7。 交换是正确的,通常不会超过6个字符。 由于AD模式中的编辑,现在可以包含12个字符。 如何让Exchange忽略我做的这个不寻常的设置?
在Windows SBS 2011 Essentials上,如何将用户文档存储在服务器上的集中位置? 例如,“用户”文件夹中有A,B和C先生的子文件夹。这些文件夹中的每一个都包含该用户的所有文档,桌面,下载等。 这是什么文件夹重新方向是或有另一种方法这siuation? 我已经find了关于这个SBS 2011标准的信息,但我不认为这适用于基本要素,它是甚至可能的基本? 谢谢
我已经设置了ejabberd安装,并按照文档中所述,对ActiveDirectory全局编录服务器configurationLDAP身份validation和电子名片数据提取。 这部分工作 – 我可以使用我的AD用户login到服务器,如果我知道他们的AD名称,我可以添加其他用户。 什么是不工作的searchfunction – 我可以访问好友search服务,我得到的search表单与configuration字段,但search从不返回任何结果。 打开日志级别,我可以看到LDAP查询结束并被回答,但显然一个空的结果集被发送到客户端。 我怎么知道这里可能会出错?
我在OpenStack云中引入了三个Windows 2012虚拟机。 我将第一个configuration为名为“dc”(domain:internal.lorinhochstein.org)的域控制器,然后将其他两个实例(server-1,server-2)join到域中。 当第一个实例join域时,在域控制器上添加了DNS“A”logging,但是当第二个实例join域时,没有添加这样的logging: PS C:\ProgramData> Get-DnsServerResourceRecord -ZoneName "internal.lorinhochstein.org" -RRType "A" HostName RecordType Timestamp TimeToLive RecordData ——– ———- ——— ———- ———- @ A 6/8/2013 8:00:00 PM 00:10:00 10.40.1.4 dc A 0 01:00:00 10.40.1.4 DomainDnsZones A 6/8/2013 9:00:00 PM 00:10:00 10.40.1.4 ForestDnsZones A 6/8/2013 9:00:00 PM 00:10:00 10.40.1.4 SERVER-1 A 6/8/2013 9:00:00 PM 00:20:00 10.40.1.5 什么可能导致logging无法添加到DNS服务器?
我知道,同步AD和OpenLDAP是一个常见的问题,但经过几个小时的谷歌search和阅读这样的post,我仍然不确定是否有一个良好的(在方便和安全的意义上)的方式来接受外部服务与内部AD相同的密码。 关于这个问题的更多背景: 我负责一个小软件开发人员的IT工作。 公司和最近越来越多的服务(项目pipe理,文件共享等)需要由我们networking之外的客户,自由职业者和员工访问。 到目前为止,所有这些服务都有自己的用户帐号和密码,这样就变得单调乏味,容易出错。 我的想法是build立一个所有服务都可以访问的OpenLDAP服务器,并作为中央用户存储库。 我缺乏的是将我们的一些内部用户帐户推送到这台服务器,以便这些用户可以使用外部服务。 我不喜欢让我们的DC从互联网上到达的想法。 所以基本上我有两个问题: 我正确的方式? 或者这是否会因为我错过了一些要点而失败? 我怎么能做到这样的事情? 从开发背景来看,我正在考虑编写一个列出所有内部用户的小应用程序/脚本,并让我select哪些服务可以访问哪些服务,但是我将如何处理密码更改?
我目前正在使用winbind将系统迁移到AD域。 这工作正常,但我发现NFS挂载没有适当的权限,因为用户和组最终在每个系统上不同的uid / gid。 我的问题是,将这些系统绑定到AD的最好方法是什么,同时保持uid / gid在所有系统中是统一的呢?
我正在尝试使用Samba4来实现跨networking的Active Directorylogin,使用nslcd和pam-krb5来注册和validation用户,并使用mount.cifs来装载共享区域(如归属区域)。 内部Samba4 DNS用于为所有客户端提供DNS。 总体来说,安装工作得很好,用户可以正确识别并通过pam-mount工作自动共享安装。 但是,我想尝试使用其他域控制器在此networking上实现冗余forms。 要将nslcdconfiguration为指向多个服务器,我将uri字段设置为uri DNS ,这使nslcd可以从DNSlogging(如_ldap._tcp.domain.com获取有关使用哪个LDAP服务器的信息 – 由Samba自动方便地设置为指向networking上的每个具有LDAPfunction的服务器。 /etc/krb5.confconfiguration同样简单, dns_lookup_kdc选项设置为true。 但是,这个设置的一个绊脚石是解决DNS。 在/etc/resolv.conf放置多个nameserver行允许客户端在主服务器出现故障的情况下使用辅助名称服务器,但是在每个DNS查询发生之前,会有一个巨大的超时。 我已经设法通过在该文件中设置option timeout: 0.3来减less这个超时,但是在使用像ping这样的命令时仍然非常慢。 而且,忽略所有这一切, mount.cifs似乎不能被configuration为多个服务器。 我曾尝试使用//domain.com/share来装载共享,这在一定程度上有效,但在使用Kerberos时失败(因为Kerberos要求服务器的FQDN正常工作)。 我也尝试过使用另一个由Samba提供的SRV DNSlogging,比如_ldap._tcp.dc._msdcs.domain.com (应该指向该域中每个域控制器的logging),但是它更less。 有任何想法吗?
运行kvno时imap / [email protected]出现以下错误:kvno:在获取imap / [email protected]的凭据时找不到Kerberos数据库中的服务器 我展示了wireshark中的设置和步骤,以及捕获的内容,希望我能给予帮助。 我有一个Windows Server 2003与AD的IP是yyy.yyy.yyy.yyy和他的名字是win2003。 用户客户端使用Windows并安装Kerberos For Windows和Thunderbird作为邮件客户端。 我也有一个电脑与Centos 6的IP是xxx.xxx.xxx.xxx和他的名字是prueba邮件你安装Postfix +赛勒斯Imap。 如果我从CentOS 6操作正常的计算机上执行nslookup yyy.yyy.yyy.yyy。 如果我从具有Windows Server 2003的计算机上正确运行nslookup xxx.xxx.xxx.xxx。 我想从Windows客户端获得sso,所以按照以下步骤操作: 1)在AD中为每个服务(imap等)创build一个用户。 这些用户启用了“对此帐户使用DESencryptiontypes”,“不要求Kerberos预authentication”,“用户不能更改密码”,“密码永不过期”。 2)当我在Windows 2003中运行setspn -L时,显示如下: host/prueba-mail.ejemplo.org imap/prueba-mail.ejemplo.org 3)在Windows 2003中,运行以下命令: Ktpass -princ host/[email protected] -mapuser host -pass password -crypto DES-CBC-MD5 -out UNIXhost.keytab Ktpass -princ imap/[email protected] -mapuser imap -pass password -crypto DES-CBC-MD5 -out UNIXimap.keytab 4)在UNIXhost.keytab中添加UNIXimap.keytab然后我做了两个UNIXhost.keytab拷贝到/etc/krb5.keytab和/etc/krb5.keytab.cyrus同时运行chown […]
我试图让Windows(XP +)客户端与NT4服务器通话。 所有机器都join到一个活动目录域。 域login在任何地方都可以工作,并且所有机器之间的authentication工作除了从客户机到独立的NT4机器之外。 当尝试连接(开始 – >运行 – > \\ NT4机器)时,客户端收到一个错误“该帐户无权从该工作站login”。 当通过IP地址连接时,它确实工作,但不是可取的。 已经在testing客户端上设置了本地策略来尝试解决问题: Microsoftnetworking客户端:数字签名通信(始终) – 已禁用 networking安全性:LAN Manager身份validation级别 – 发送LM和NTLM响应 networking安全:基于NTLM SSP的客户端的最小会话安全性 – 没有最低限度 我已经完成了机器之间的数据包捕获(通过Wireshark),客户端在发送确认服务器协商协议响应后停止。 值得注意的是,服务器响应安全模式0x07(签名支持,不是必需的)和扩展安全交换回来,不支持在响应的能力部分(我不相信这是必需的,但是)。 我也需要通过命名pipe道访问机器。 症状类似于此(授权失败,通过机器名称,通过IP工作)。 通过netbios和DNS查找NT4机器地址都可以正常工作。 此外,NT4机器能够访问Win7机器上的共享。 不幸的是,由于机器的function(通过硬件/软件与专用机器接口,所有这些都必须被replace),取代NT4机器不会在不久的将来出现在卡片中。 有谁知道我可以如何让更多的NT4更吸引我的Win7客户端?