问候,我提供: Windows Server 2012 R2标准版。 SAN连接存储(EMC VNXe 1600)。 2台刀片服务器(M1000e机箱中的Dell M630),带有FC交换机。 每台服务器有2个Xeon V3处理器,共32个内核和64 GB DDR4内存。 我需要为所有用户实现带有2个域控制器和文件夹redirect的活动目录(用户数量为250,并且在适当的时候将达到1000)。 文件夹redirect将用于所有可定制的文件夹。 问题/问题: 在SAN存储上创build的LUN只能安装在一台服务器(域控制器)上。 在多个服务器上安装单个LUN 会损坏LUN。 文件夹redirect将要求ACL保持用户数据的安全(ACL在这里提到: https ://technet.microsoft.com/en-us/library/jj649078( v=ws.11 ) .aspx )我看到这些是NTFS ACL。 鉴于上述限制(硬件/软件/要求)。 如何最好地实现文件夹redirect的2个DC? 我有一个额外的服务器,我可以使用。 我有一些build议,如创build一个文件服务器,但我不知道如果在DC不断要求文件服务器读取,写入用户数据的情况下I / O是否可以接受? 在这种情况下,执行文件夹redirect的最佳方式是什么?
我已经在C#中编写了一个实用程序来报告访问pipe理过程中使用的AD帐户详细信息。 我注意到某些属性的值不包括在从未login的帐户的报告中,因此userAccountControl尚未初始化。 有没有一种方式来编程报告这些值从未login的帐户,使用C#? 例如,我们所有的账户都具有employeeType属性,并且在每个账户上,employeeType被设置为在账户资料的“属性编辑器”选项卡的AD Explorer中可见的“承包商”或“永久”值。 如果帐户已经login到我的报告中,但是如果没有,那么employeeType不会显示在该帐户的结果中。 以下是我的代码示例: public static List<ADObjects> getADUserObjects(string domainShortNameStr) { List<ADObjects> adUserObjectsList = new List<ADObjects>(); DirectoryEntry searchRoot = ADUtils.getSingleDomainDirectoryEntry(domainShortNameStr); string searchFilter = "(sAMAccountType=805306368)"; string[] adAttributeNamesStrArr = new string[] { "distinguishedName", "sAMAccountName", "userAccountControl", "employeeType" }; DirectorySearcher search = new DirectorySearcher(searchRoot, searchFilter, adAttributeNamesStrArr); search.PageSize = 1000; SearchResult result; SearchResultCollection resultCol = search.FindAll(); if (resultCol […]
有没有人看到他们的Linux服务器由于过期的机器凭据而从AD域中删除? 我们使用sssd-1.13.3-56.el6(Centos 6) 根据“ https://bugzilla.redhat.com/show_bug.cgi?id=1290761”,sssd应该能够自动更新主机凭证。 没有提到在每个相关红帽文档(“将红帽企业Linux 6与Active Directory集成”)joinAD时应该采取的额外configuration步骤。 根据我的search,一些运行cron作业来更新主机凭据“ https://lists.fedorahosted.org/archives/list/[email protected]/thread/CRA43XHHDBPAENAYJ3INUWSCE2Q2NB5W/ ” SSSD Kerberos AD Centos故障排除 我们是否需要一个cron作业来运行:“msktutil –auto-update”和“kinit -k $”? 或者sssd应该可以处理这个? 您是否在sssd.conf中设置了“ad_maximum_machine_account_password_age”,或者将其保留默认30天。 干杯, 更新:@jhrozek,谢谢你的评论。 我仍然看到与我的configuration相同的问题。 看起来票5月28日没有得到更新,服务器退出了领域: # net ads testjoin kerberos_kinit_password [email protected] failed: Preauthentication failed kerberos_kinit_password [email protected] failed: Preauthentication failed Join to domain is not valid: Logon failure 密钥表状态: # klist -kt Keytab name: FILE:/etc/krb5.keytab KVNO […]
我遇到了一些OSX在用户文件夹第一次login到Mac时设置奇怪的权限( Everyone/Deny/Delete )的一些麻烦,我没有足够的经验,以使Mac正常工作。 我们的文件服务器和域控制器是Server 2012 R2,我们有一个迷你Mac服务器和Mac客户端连接到Active Directory在“黄金三angular”configuration。 用户的主目录在主文件夹下的AD中设置,并使用SMB(无AFP服务器)指向\\fileserver\networkshare$\<username> 。 我们有几个文件夹redirectGPO的video/图片/音乐/文件,指向\\fileserver\networkshare$\username\<folder> 。 用户首先login到Windows计算机,一切正常,然后在第一次login到Mac计算机时,会在用户文件夹中创buildLibrary/Spotlight etc文件夹,然后应用Everyone/Deny/Delete到用户文件夹,不只是Library/Spotlight etc文件夹,然后不能映射他们的目录,因为它不能访问它。 如果此时login到Windows端,用户将无法访问其驱动器。 如果用户首先login到Mac机器,文件夹被正确创build,只有Library , Desktop和Downloads文件夹获得拒绝权限(这似乎很好)。 当用户第一次login到Windows后,剩余的文件夹被创build并且工作…直到他们再次login到Mac机器,然后用户文件夹的所有子文件夹都获得拒绝权限(但不是用户像之前的文件夹) 据我所知,OSX应用Everyone/Deny/Delete权限来保护其他用户正在访问的用户文件夹是正常的,但是与Windows有冲突,我无法弄清楚。 也许有一个最佳实践的文件夹结构,我不知道或设置的地方,但我认为我缺乏OSX知识限制了我。
我有一个三个节点的DFS-R名称空间。 其中两个节点工作得很好,但是第三个节点却有些奇怪。 当您通过命名空间浏览节点时,当您更改为文件夹时,它会将您从文件夹中退出,然后返回到刚才的时间。 有时候,它会把你从这个文件夹中转移出来,当你在备份目录树的时候,你会看到它。 我为animationGIF道歉,但它看起来像这样: ![在这里input图片描述] [1] 在命名空间的apps节点中 转到“MYOB”目录 大约1秒后,被转储回apps节点 什么可能导致这个? 节点是Server 2012 R2。
我目前正在研究Active Directory,希望能够加快速度,帮助确保我们正在使用的一些群集。 在阅读AD如何进行复制的过程中,我发现了一些似乎很方便的东西,我希望有人能够澄清它是如何工作的。 根据我所读到的,一个对象的每个属性复制元数据(属性版本号,时间改变,原始DC-GUID等)都存储在名为replPropertyMetaData的对象上的非重复属性中。 这是有道理的,除了其中一些值(特别是Time Changed,Originating-DC-GUID和Originating-USN)必须被复制到其他DC,否则其他DC将不知道要设置什么值。 这些值在复制过程中是否被特别提取和发送,或者是否有其他一些过程我错过了?
我正在运行SCCM 1702,而且我总是想知道如何自动清理已经退役的计算机的SCCM数据库。 我已经在网站维护任务中查看了“删除老化的发现数据”作业,但是我不清楚它的function。 这是我想要的: 我们有一个正式的PC退役stream程,我们的Active Directory数据库相当干净。 当我们从AD中删除一个计算机帐户时,我也希望在合理的时间内将该帐户从SCCM数据库中删除(我希望在24小时之内,但也可以接受7天)。 这是我不想要的: 我们有很多笔记本电脑,有时几个月没有被networking看到。 但是,这些机器仍然活跃,仍然在AD中,并且仍然在SCCM数据库中。 我不希望那些处于不活动状态的人被删除。 在“网站维护”任务中有关此特定作业的文档清晰如泥。 处于AD状态的计算机仍然可以通过系统发现获取,但它们可能没有很长一段时间的心跳。 这个工作能完成我想要的吗? 如果没有,是否有另一种方法来实现呢?
我对Active Directorynetworking有严重的问题。 我会尽量保持这个简短的和重点。 问题: – DHCP,AD每天都停止工作。 背景: – 1台运行在VMWARE 6 Hypervisor上的服务器2012 R2,运行DNS,DHCP和AD。 重新启动虚拟机解决的问题 – 重启后,所有域function和DHCPfunction都正常。 运行DCDIAG,元数据清理,几个第三方活动目录工具来查找错误 – 所有通过罚款,没有报告的问题。 没有杀毒软件正在运行。 什么也没有变。 似乎自5月24日左右以来一直在发生。 症状 – DHCP停止发布IP,然后所有条目显示红色十字。 重新启动DHCP导致Error 14:- Not enough storage available to process this operation. 用户无法使用VPN远程login 我无法加载Active Directory用户和计算机。 错误: – DHCP> DHCP服务器无法find。 DHCP服务器可能closures,可能有networking问题,或DHCP服务可能未安装。 错误是:DHCP服务器服务未在目标计算机上运行。 AD >> Active Directory域服务。 来自域控制器的数据不能从域控制器xyz.company.local获得,因为:服务器不可操作。 稍后重试或通过select连接到域来select另一个DC。 我完全不知道这里出了什么问题。 请有人可以帮忙吗?
我在公共可访问的端口(会议室等)上使用RADIUS进行端口安全。我们有HP Procurve交换机,Aruba Clearpass正在处理身份validation请求(在后端使用Active Directory数据中心)。 它被设置为默认为来宾VLAN(没有路由到我们的生产VLAN,只有互联网),然后切换到成功的ADauthentication生产VLAN。 在会议室我们有固定的笔记本电脑,目前我遇到的一个问题是,当笔记本电脑退出的时间超过了“不正常”时间(60秒)时,他们会被踢回来。 那么当前没有在这些便携式计算机上caching凭据的用户无法在DC上login笔记本电脑。 我不知道如何解决这个问题。 我默默地给一个DC在Guest VLAN中的一个接口,因为我不确定安全性的影响。 我还能做什么?
我最近inheritance了维护我们的Samba域控制器的责任,这个控制器主要用于pipe理日志到域中,并作为一个安全的文件共享。 这个系统的初始configuration并不完全知道,因为在我join这个组之前就已经configuration好了,而且由于最近出现了一些意外的人员变动,我离开了一个服务中断的系统,关于。 服务器运行Ubuntu 16.04,并使用samba来模拟Windows Active Directory(我想我正在使用正确的术语)。 如果需要,我很高兴发布configuration文件或其他相关信息。 我发现我无法将新机器join到域中,而且login到该域下的Windows机器似乎是依赖于caching凭据,密码更改不会反映在不同的机器上。 我去挖掘,我最初的发现是,在服务器机器的启动,其中一个服务显示无法启动。 查看日志文件kerberos 5密钥分发服务失败。 Kerberos服务已经打破了好几个月似乎。 我遵循一个非常有用的指导来configuration一个新的kerberos域,链接在消息的底部。 我按照指南重新安装了kerberos 5服务器,现在服务已经正确地在启动时正常启动,并且通过跟踪指南所build议的日志文件的跟踪,我可以看到它正在与networking上的其他计算机通信,我可以看到各种计算机进行login尝试,由于没有计算机名称在主目录列表失败。 (这是另一个较低优先级的问题,因为当我重新安装时,我认为旧的主体文件被覆盖,不知道这是一种可能性,找出这些计算机在自动尝试重新连接时发送的密码将允许我将它们添加到校长用正确的密码来解决这个问题)当我尝试login在join到域的机器的Windows 7login页面,当事情还在工作时,我可以在服务器上实时看到它的踪迹terminal读出。 但是,并不是一切都好。 当我尝试login仍join域的terminal时,核收到来自用户名@ MSAE的login名,并且未能find匹配项,因为域名为msae.wisc.edu,因此找不到匹配项用户名。 这有点让我感到困惑,因为在域名下的窗口中列出了“msae.wisc.edu”,但在login时,域名为“MSAE”login尝试缺乏必要的“.wisc.edu”以完全匹配在校长列表中find。 我不知道如何继续。 我曾尝试使用msae.wisc.edu/usernamelogin,强制域读取“msae.wisc.edu”,这会导致“服务器上的安全数据库没有此工作站信任关系的计算机帐户”当发送正确的密码时,在Windows机器上的消息,并在服务器上,我看到: Jun 22 13:09:10 nucleus.msae.wisc.edu krb5kdc[1040](info): AS_REQ (6 etypes {18 17 23 24 -135 3}) 128.104.185.62: ISSUE: authtime 1498154950, etypes {rep=18 tkt=18 ses=18}, [email protected] for krbtgt/[email protected] 我也尝试添加一个新的条目,只有MSAE作为域的主体,即username @ MSAE,而不是所有其他的读取[email protected]。 当我login时,没有指定域(即使用窗口中显示的默认MSAE域),我得到以下错误: REFERRAL: username@MSAE for […]