我正在尝试将第二个域控制器(DC)添加到我的域。 服务器正在运行Windows Server 2012 R2。 在将其提升到域控制器时出现错误之后,我尝试卸载AD DSangular色并join域,就像使用普通计算机/服务器一样。 我得到了同样的错误。 我得到的错误是:“尝试join域”example.com“发生以下错误。用户名或密码不正确。” 我没有join一个其他服务器到相同的用户和相同的密码域,我相信我input正确的密码。 我也试图将密码从记事本复制到密码字段。 我可以使用相同的用户名和密码login到其他DC。 我正在使用的帐户是内置的pipe理员帐户。 我的问题是我应该如何解决错误,说我使用错误的用户名或密码。
客户端有两个域驻留在同一个子网/物理networking上。 基本上只有一个POP3邮件服务器( OLDSERVER )和一个旧的DC( OLDDC )在生活上支持OLDSERVER高兴。 两个森林之间没有信任。 他们不知道彼此的存在。 我想通过net use映射的驱动器临时挂载到OLDSERVER ,这样我就可以在几个晚上运行一个文件同步作业,从旧的服务器上获取所有的邮件数据,但是我得到了信任关系错误,无论如何使用/USER:选项指定域。 我相当肯定地说,如果我更改了NEWSERVER上的DNS服务器绑定,或者为旧的FQDN添加了一个转发器给OLDDC ,我可能会得到这个工作,但我宁愿find一个命令行方法来指定哪个DC查询/validation,以便我可以临时映射驱动器; 大声思索,旧域所需的DNS条目的主机文件条目,解决所需的OLDDC也可能是一个潜在的解决scheme。 另一种方法是安装一个临时的FTP服务器,完全避免基于SMB / Windows的身份validation(或者只是使用USB驱动器),但是我现在比任何事情都好奇,知道这是否可能。 编辑:HOSTS文件方法可能不会工作,因为不支持SRVlogging。 对于不支持SRV的客户端,您可以指定一个特定的Alogging,但是我会怀疑不支持SRV的客户端将不包含Windows Server 2008 R2; 从有关Active Directory的必需DNSlogging的MSDN博客文章中 : GC IP地址 – gc._msdcs.<DnsForestName> 允许非SRV感知客户端通过查找> Alogging来查找林中的任何全局编录服务器。 这种forms的名称通过LDAP引用返回给LDAP客户端。 一个>不支持SRV的客户端查找这个名字; 一个支持SRV的客户端查找合适的SRV资源logging。 Net Logon还会注册一个DNS CNAME(别名)logging以供Active Directory复制使用>定位器不使用此logging。
我已经做了一些关于这个话题的研究,但是我不能直接回答我的问题。 请告诉我,如果我的理解是正确的。 Kerberos可以用作Linux / Unix操作系统和Windows AD之间的桥梁。 可以在AD中设置策略(例如,用户/组“A”可以访问资源“X”和“Y”,但不能是“Z”),Kerberos会强制执行这些策略。 因此,RHEL服务器可以拥有没有密码的用户帐户(即locking帐户),但是如果AD策略指导的Kerberos说他们应该有权访问,那么这些用户仍然可以对服务器进行身份validation。 我担心的是,如果影子文件中没有密码的Linux帐户是AD域的成员,则可以被授予访问权限,但不能再访问Linux服务器。 在一个不相关的组织中,我已经绑定了一个iMac到AD,并且该域的任何成员都可以访问iMac。
我有一个域MYDOMAIN单个Windows Server 2012 R2 Active Directory域控制器。 我想从未join域的工作站执行Active Directory的远程pipe理。 为此,我使用runas /netonly user:MYDOMAIN\Adrian.Hofman运行Active Directory用户和计算机工具runas /netonly user:MYDOMAIN\Adrian.Hofman 。 进入Active Directory用户和计算机后,通过在“ Change Domain Controller…对话框中input域控制器的IP地址,连接到MYDOMAIN 。 这工作正常。 但是,当我做某些操作(例如,创build一个新的用户,或转到用户Properties对话框的Member Of选项卡),我得到以下错误对话框: The specified domain either does not exist or could not be contacted. 错误对话框似乎是完全良性的 – 在对话框被解除之后,操作继续正常并且成功。 但是,我正在将这些工具部署到非技术用户,而且我担心这些错误消息会使他们对系统失去信心。 任何关于如何使错误信息消失的指针? 编辑:我已经尝试了以下内容: 我在域控制器上运行dcdiag ; 所有testing通过; 似乎没有任何有用的信息。 我尝试使用Active Directory用户和计算机从join到该域的计算机,我不会得到该错误。 不过,我仍然需要能够从非域名机器使用AD U&C。
请原谅我的天真。 我不是技术人员。 我们使用Windows Active Directory进行用户身份validation,例如login到工作站(PC),Citrix等。 对于特定应用程序“xyz”的多次不正确login尝试之后,有一个质量要求禁用用户帐户。 我知道Active Directory提供了多个不正确的login后禁用用户的function。 我的问题是,如果我创build一个AD组来专门访问此应用程序,我可以设置规则/策略来禁止仅访问此应用程序,以便用户仍然能够login到他们的工作站,思杰等?
我在使用Windows Server 2008 R1的Active Directory中遇到了一个奇怪的问题。 我的用户中只有一个能够使用我所在域中的50个用户的远程桌面function。 其余的用户都在同一个远程桌面组中,并应用相同的设置。 我真的不能告诉用户之间的任何区别。 当试图与另一个用户的RDP时,我得到以下错误。 “连接被拒绝,因为用户帐户没有被授权进行远程login。” 我确信这是一个AD问题,而不是在客户端,但是当涉及到解决问题时,我正在空白。 更新 我实际上可以login个人用户,甚至不在“远程桌面用户”组中。 现在,我很困惑。
让我先序说我暂时不在服务器附近,所以我不能直接读出任何错误信息。 我们已经实现了一个ADFS 3.0服务器,并使用微软包含的SSO网页。 我们使用表单身份validation时,子网域的UPN在外网上无法正常工作。 更容易描述问题: 我们有一个子域的域。 出于意图和目的,在主域中具有UPN的用户的后缀是[email protected]。 子域用户UPN是[email protected]。 在SSO站点上,UPN将在主域上login,但会在子域的UPN中出错。 例如:[email protected]将会login,但[email protected]将不起作用。 为了进一步混淆事实,xyz \ bananas将允许您login,bananas @ xyz(后缀xyz之后没有任何内容)。 为了澄清这一点,子域名的实际名称IS xyz所以xyz \应该工作,无论如何,应该@xyz由于后续被SSO“理解”的域的延续。 为了澄清所有这些,并给出删节版本,input主域用户的UPN工作,但在子域中的用户的UPN键入将不起作用。 所有东西都要在ADFS和Active Directory中正确configuration。 如果其他人遇到类似的情况,我将不胜感激任何提示或build议。 目前,这种forms本身就是一个问题。 为了提供更多信息,当我们使用Windows身份validation时,Intranet中的同一站点工作正常。 我们暂时closures了Windows身份validation,并在内部使用表单身份validation,子域的UPN正常工作没有问题。
我们有一个非常基本的AD使用(基本上pipe理用户密码重置),为此我们必须维护一个旧的Windows服务器。 我们的内部用户访问的所有服务都在云端(GMail,Google Drive,Salesforce等),所以既然我们非常依赖互联网连接,在云上也没有问题。 由于无法使用Azure Active Directory( 我可以使用Azure Active Directory来replace域控制器吗? ),我想知道是否可以使用AWS Directory Service 可能吗? 谢谢
我是Sharepoint开发人员,并被要求在DMZ内部署Sharepoint服务器,该服务器将从公司局域网访问。 目前,DMZ具有公共IP(受防火墙保护),公司LAN通过站点到站点VPN连接到该DMZ,以便访问托pipe在那里的应用程序。 Sharepoint的引入要求我们将DMZ中的Sharepoint服务器放到企业networking的Active Directory域中,但这已被拒绝。 接下来发生的事情是在DMZ中将设置一个新的域控制器,并且应该存在单向信任,以便公司LAN中的用户可以在Sharepoint服务器上进行身份validation。 DMZ中的服务器无法看到企业局域网,也不会出现这种情况,所以我们提出的build议是,(我们的DMZ AD中的)二级域控制器将与企业LAN和DMZnetworking连接在一起。 据推测,在DMZ的应用程序中进行身份validation的用户将凭借其中一个DC在两个networking上工作。 我对此设置有疑问,并希望将公司LAN扩展为包含Sharepoint服务器并将其join公司域。 仅仅因为一个DC将在企业局域网中,如果Sharepoint服务器只能在DMZ中看到DC,当用户点击Sharepoint服务器并尝试进行信任login时会发生什么情况? 在这种情况下有2个DC有什么意义吗? 多宿主DC是否要走,还是应该制定DMZ服务器能够访问企业LAN的规则?
我在AD LDS中创build了一个pipe理员用户,但无法使用它login。 我用ADSI编辑来创build一个用户CN = LDSAdmin,CN = Admin,O = MyCompany,C = CH 并将其添加到组CN = Administrators,CN =angular色,O = MyCompany,C = CH中 并通过在ADSI Edit中右键单击密码并select“重置密码”给它一个密码。 现在,我无法使用Softerra LDAP Browser或任何其他LDAP工具绑定到AD LDS,Softerra只是永远挂起login,LDAP Admin等其他工具会给出“无效凭证”错误。 我find说明如何导入pipe理员用户usinf ldif但他们没有工作。 我在这里错过了什么? 干杯彼得