我有一个IIS 8.0上运行的ASP.NET MVC 5应用程序。 应用程序池运行在域用户下,fi IISPoolUser 。 匿名authentication也使用这个标识。 我给了根池文件夹( C:\inetpub\wwwroot )的完全控制权限,一切正常。 现在,我想启用Windows身份validation。 当某人(fi, WebUser )尝试访问此应用程序时,他将获得login提示对话框,然后获取401 Unathorized – “由于凭据无效而导致访问被拒绝”错误。 浏览器发送适当的身份validation标头 – 问题与目录访问有关。 如果我授予用户WebUser到文件夹C:\inetpub\wwwroot权限,那么它工作正常。 ASP.NET模拟被禁用。 为什么IIS使用WebUser标识访问目录? 我希望IIS以应用程序池标识 – IISPoolUser的身份访问此文件夹。 如何使它做到这一点? 我不想将Everyone添加到目录权限,因为它听起来是错误的,一般来说 – 我只想允许通过我的IIS应用程序修改此目录。
我正在按照我在这里推荐的一个指南来build立用户的家庭文件夹和驱动器映射,而且我遇到了一个问题,尽pipe我完全按照以下说明设置它: Using Group Policy Preferences (GPP) to map user home drive 我在初始login过程中检查了事件查看器,即使在服务器上创build了文件夹,也看到了错误4098(组策略失败,错误代码为0x80070037,指定的networking资源或设备不再可用)。 第三次login后,驱动器正确显示。 看看博客上的评论,它显示了一些用户有相同的问题,而另一些则没有。 我无法弄清楚为什么。 我希望通过组策略创build主文件夹,而不是通过ADconfiguration文件选项卡,这样帮助台更容易设置新用户。
我有一个在networking上运行的应用程序,它使用需要应用CASPOL策略的.net组件。 客户机被locking,本地用户不是pipe理员。 通过组策略部署caspol的最佳方法是什么(避免手动configuration多台机器)
本周,我在主要网站遇到了一个令人困惑的问题,我想了解根本原因。 从stream程上看,我的故障排除已经解决,一个令人困惑的configuration更改解决了我的问题。 对不起,文本的墙壁,但如果有人可以帮助我,我认为更好的细节越多。 TL; DR:从域计算机和我们的域控制器,我们的外部DNS查找失败,直到我将DNS转发器parsing超时从默认的3秒调整到10为止。即使手动指定外部服务器,查找在NSLookup中也失败。 下面的细节。 星期五,我将两个新的域控制器/ DNS / DHCP服务器的地址换成了两个旧的DNS / DHCP / AD控制器的地址。 旧的服务器是Windows 2008 R2,新的2012 R2 SP1,完全修补到最新的Windows更新。 我还备份并将DHCP设置(使用Windows Powershell)恢复到新的DHCP服务器,并与新的Windows DHCP负载平衡build立故障转移关系。 我重新启动,运行dcdiag / fix,并validationDHCP和DNS查找。 一切似乎工作正常。 我查了几天,确保DHCP服务器传输正常工作,机器获得了合适的租约。 我不完全记得,如果我尝试的DNS查找包括外部网站,但我想我已经尝试了nslookup www.google.com,并在改变后的星期五工作。 星期天用户首先报告访问networking的问题。 星期一,这是一个普遍的问题。 用户无法访问互联网,或者可能间歇性地访问互联网。 同样,我们的IP电话也很麻烦,与我们之前看到的拥堵严重相似。 VoIP电话位于单独的VLAN上,不能连接到我们的DNS服务器或防火墙,除了查找用户目录条目。 除了电话症状,这个问题似乎只是与DNS有关。 我们运行了一台裂脑DNS服务器,因此我们拥有本地DNS条目的外部托pipe网站运行良好,并且可以快速加载。 我也可以SSH到外部服务器。 在本地任何服务器之间没有数据包丢失,我们到远程站点的VPN通道工作正常。 通过VPN到我们的远程站点,我可以很好地访问Internet – 远程站点上的DNS服务器也是运行2012 R2的域控制器。 在工作站和DC上使用DNS查找,我尝试了各种查找。 内部查找很好,外部查找失败。 在这两个新的DNS服务器上,外部DNS转发器都被设置为我们的ISP和Google公共DNS。 DNS根提示也被启用。 我通过打开NSLookup指定了外部DNS服务器,input服务器8.8.8.8,然后尝试几个网站–www.google.com,www.microsoft.com。 他们失败了,报告了4个DNS服务器超时。 我也尝试手动设置DNS服务器到我已知的工作DC,在远程站点,没有成功。 我用新的IP地址对旧的DC进行了类似的testing,没有任何改变。 我确认本地DC上的DNS服务器被设置为与主要不同的DC,如Microsoft Technet中的build议。 最后,为了缩小问题,我closures了旧的区议会。 我第一次怀疑是防火墙。 我们有一个防火墙规则,允许端口53上的DNS […]
如果我不在LDAP中创build用户search库时定义OU,它将使用整个域而不是特定的OU?
我最近build立了一个linux系统(Debian-Jesse),它已经join了一个基于MS的Kerberos域,并且已经被设置为允许基于Kerberos的远程访问validation。 唯一的问题是,身份validation将不会成功,除非有一个匹配的本地用户。 例如,如果我尝试以wboynton @ EXAMPLE.COM @ xx.xxx.xxx.xx的身份login,它将接受我的密码,然后我将看到auth.log确认我的kerberos身份validation,然后由于找不到而拒绝我我在/etc/shadow 。 然后,如果我在远程计算机上运行sudo adduser wboynton并以远程方式尝试远程login,则会成功。 我环顾四周,在互联网上find一个build议,写一个pam_script脚本,在testing每个kerberizedlogin尝试的auth之前创build一个用户,如果它尚不存在的话。 但是,这对我来说似乎很笨拙。 到目前为止,我还没有能够find将Kerberos指定为权限并完全绕过/etc/passwd和/etc/shadow的可靠方法。 这样的系统是否存在? 谢谢!
我用C写了一个LDAP客户端程序。我正在尝试使用Active Directory进行身份validation。 我在Active Directory中创build了一些用户,并尝试使用我的LDAP客户端进行身份validation。 它的工作正常。 但问题是当我在AD中创build用户时, user must change password at next login选项,LDAP绑定function失败。 如果没有绑定,更改密码不起作用。 那么我怎么才能使它工作?
让客户有两个独立的办事处/公司,例如: domainone.local (Windows Server 2008 R2) domaintwo.pvt (Windows Server 2008) 连接到互联网时,每个办公室都有一个dynamicIP。 是否可以在两者之间build立信任? 试图开始使用它,但无法通过最初的信任向导得到: "the new trust wizard cannot continue because the specified domain cannot be contacted"
我目前正在尝试joinSeagat Black Armor 220 NAS到我的活动目录域(2008_R2),由在Debian Jessie上运行的Samba 4.4控制。 但是这样一直会给我NAS的回应: 无法join域。 [NET_ERROR:joinADS失败] 看在希捷常见问题解答这应该意味着域名或pipe理员login不正确。 我检查了一千次,但我input的值是正确的。 此外,NAS之前已经是运行Samba 4.1的另外两个AD Domains的成员之一,其中Runlevel 2003和2008_R2运行良好。 可悲的是,它不会给我更多的细节在这里是什么问题。 顺便说一下,任何其他设备可以没有任何issus连接。 我现在的问题是在服务器/ Samba上login失败的连接Attemps在哪里? 或者我需要如何更改configuration以启用这些事件的logging? 我真的需要获得比NAS提供更多的信息。
我正在为新域configuration第一个域控制器。 Active Directory域服务的安装似乎没有问题,但是当我尝试configuration域控制器时,它被卡在第二步“域控制器选项”上。 没有错误消息popup,它只是看起来像窗口正在加载,所有的选项,如森林function级下拉列表或下一步button是灰色的。 我唯一能点击的是取消。 它已经在这个阶段坐了20多分钟。 它卡住的步骤的屏幕截图关于可能发生什么以及如何纠正它的任何想法? 安装的唯一angular色是AD DS,DHCP,DNS。 DHCP和DNS尚未configuration,AD DS是我遇到的问题。 谢谢!