我有2个Sharepoint服务器和1个快速服务器(所有Windows 2008 R2)从内部networking移动到DMZ层。 现在这3台服务器无法与DC&DNS(Windows 2000)进行通讯。 所有相关的端口都已经从防火墙WatchGuard打开。 但我可以ping DC和DNS。 我可以访问DC和DNS上的共享文件夹。 login速度太慢,当我尝试将域用户添加到本地pipe理员组时,会发生以下错误: 错误:RPC服务器不可用。 事件日志错误:**组策略处理失败。 Windows无法parsing用户名。 这可能是由以下其中一种情况导致的:a)当前域控制器上的名称parsing失败。 b)Active Directory复制延迟(在另一个域控制器上创build的帐户尚未复制到当前域控制器)。
我需要在我们的域中添加2个AD服务器,但是在这些特定的站点中的每一个都希望DNS独立(而不是AD集成)。 我不能说我之前都试过这个,因为我一直都在做我的AD服务器AD集成DNS服务器。 我已经构build了第一个服务器,并没有select在DCPROMO期间安装DNS,而是在安装DNS之后。 它自动与DNS集成。 我怎样才能删除广告公元积分一块广告不拧什么? 和/或任何想法如何build立这个? 提前致谢。
我们在周末将服务器迁移到了一个新的域控制器,该域控制器已经安装了GPO来部署软件。 我们所有的客户都重新装载了操作系统,所以他们是“新鲜的”,他们中的大部分都安装了软件,但有些人拒绝安装某些软件。 我收到这些错误: 从Adobe Reader中分配应用程序Adobe Reader XI失败。 错误是:%% 1274 从政策Adobe Reader中删除应用程序Adobe Reader XI的分配失败。 错误是:%% 2 这发生在Adobe Reader XI,LogMeIn和Google Chrome上。 这也是非常随机的。 我已经在网上阅读,在SF上,这个问题是与asynchronous部署,我已经改变了设置等待连接。 在事件日志中,我看到更多关于无法及时与域控制器联系的消息,所以我假定它们都是相关的。 这就像是等待连接的设置正在随机应用。 我已经重新启动了文件服务器,客户端并且多次运行GPUPDATE ,但是除了告诉我必须在下一次重新启动时安装软件,这种情况从来没有发生。 有什么其他types的问题可以解决吗? 不知道是否重要,但服务器都是Windows Server 2008 R2,客户端都是Windows 7.客户端也是32位和64位的混合,如果有什么区别的话…
我们正在从Exchange迁移到Google Apps。 我们正在使用AD中的邮件和代理地址字段来填充Google Apps中的信息。 MS-Exchange退役后,我们需要通过MMCpipe理单元访问这些字段。 活动目录仍然是未来添加和编辑帐户的主要系统(使用GADS)。 我们怎样才能在没有交换的情况下访问MMC中的邮件和代理地址字段? 如果我们使用Exchangepipe理单元,它会抛出一个错误,因为交换不会在那里?
在执行LDAPsearch时,我遇到了读访问uSNChanged属性的问题。 如果我使用Domain Admins组(UserA)成员的用户进行LDAPsearch,则可以看到每个用户的uSNChanged属性。 问题是,如果我使用不属于Domain Admins组的用户(UserB)进行LDAPsearch,则可以看到某些用户(UserGroupA)的uSNChanged属性,而不是某些用户(UserGroupB)。 当我查看UserGroupA中的用户并将其与UserGroupB中的用户进行比较时,我发现“安全性”选项卡中的一个重要区别。 UserGroupA中的用户具有“包含来自此对象的父级的可inheritance权限”未选中。 UserGroupB中的用户选中了该选项。 我也注意到UserGroupA中的用户是早些时候创build的用户。 UserGroupB中的用户是最近创build的用户。 这很难量化,但我估计UserGroupA和UserGroupB之间的用户创build时间的边界大约在6个月前。 什么可以导致用户创build默认为具有该安全属性选中而不是未选中? 一段时间后(也许大约在6个月前?)我将域function级别从Windows Server 2003更改为Windows Server 2008 R2。 会有这种效果吗? (我不能完全降级域function级来testing它。) 这个安全属性实际上是读取LDAPsearch的uSNChanged属性的问题的原因吗? 这似乎相关,但我不确定因果关系。 我最终想要的是,所有经过身份validation的用户在进行LDAPsearch时都可以读取所有用户的uSNChanged属性。 如果我可以授予对AD组的读取访问权限,我也可以。 然后,我可以通过向该组添加成员来控制访问权限。
我知道这个标题可能不太清楚,但我想不出什么更好的。 我们有两个域,我们称之为example.com和subnet.example.com 。 前者由Active Directory服务器进行pipe理,并包含一些服务器以及所有Windows客户端。 后者包含许多Unix机器(主要是Solaris)。 从SUBNET.EXAMPLE.COM到EXAMPLE.COM有一个单向的信任。 有了这个设置,通常的东西工作正常,如SSHlogin,NFSv4等 现在,我想要做的是在subnet.example.com的Unix机器上运行Samba服务器。 Windows用户应该能够访问这些服务器上的文件。 我在Samba中设置了Kerberos身份validation,并且可以在任何Linux客户端上正常工作。 当我有一个Kerberos TGT时,我可以通过smbclient访问机器,如果我删除它,它将停止工作。 用户映射完全按照预期工作。 机器在MIT Kerberos服务器上有cifs/hostname条目。 但是,Windows客户端无法做到这一点。 在查看Samba日志时,我可以看到Samba服务器试图与AD服务器交谈,但由于Samba服务器尚未joinAD域,因此不允许这样做。 所以,我听到你问: “你为什么不joinAD域呢?” 。 答案是,我无法做到这一点,因为子网上的系统是正在安装和重新安装的testing系统,通常每天多次,我们不希望有一个ADpipe理员configuration这个(并删除它们以及)每次testing系统安装或脱机。 另外,对于Linux客户端来说,一切都是完美的,这使我相信应该有可能以某种方式来实现这一点。 所以,我的问题是:这是可能的吗? Windows中是否存在一些限制,阻止它们成为正常Kerberos领域的客户端? 如果是这样,这个问题最好的解决方法是什么?
我们有在IIS 7.5- Server 2008 R2 x64上运行的ASP .Net 2.0构build的内部IIS应用程序。 后端是SQL 2005.它使用Kerberos(Windows集成)身份validation。 偶尔我们需要更改将站点名称映射到服务器的SPN,当新服务器投入生产或站点移动到不同的服务器时。 最近的更改要求我重新启动IIS和SQL服务器以使SPN更改生效。 在重新启动之前,用户在IE中收到authentication错误。 是否有一种较less干扰SPN更改生效? 这些是24/7生产站点,因此服务重启和/或服务器重启很困难。
Windows Server 2008 R2。 是否可以设置AD以便将添加到特定OU的任何用户自动分配给特定的用户组?
有没有办法在Active Directory中更改某些设置,以允许来自特定IP地址的请求在不locking帐户的情况下发出多个不正确的LDAP请求? 我们目前已经设置了AD,以在3次错误的身份validation尝试后locking帐户。 我想要增加这个来自某个IP地址的请求的数量,或者从这个IP地址closures账户locking。 它也可以工作,如果我可以让AD在几次尝试之后忽略来自某个IP的请求而不locking账户。 基本上,我们有一个新的自助式帐户解锁工具,我想在互联网上,因此可以解锁帐户,而无需在我们的办公室。 该工具的唯一问题是具有用于pipe理安全问题的login屏幕。 这个login屏幕可以locking帐户,我不希望它被用来恶意locking帐户。 这就是为什么我希望这可以通过IP地址来完成。
我有3台计算机,其中两台是运行Windows Server 2008的服务器,另一台是运行Windows 7的计算机。 其中一台服务器安装了以下angular色: 活动目录,DHCP和DNS。 另一台服务器安装了terminal服务器angular色。 我试图通过远程桌面使用Windows 7计算机使用来自Active Directory服务器的凭据login到terminal服务器。 听起来很简单吧? 那么,不。 每当我尝试将用户或组从Active Directory域服务器添加到terminal服务器的RDP权限,似乎忽略或忘记它们。 虽然我能find它的各种方法或者在用户组或左边的标志上有一个奇怪的刺点,但重新打开对话框用用户的域名replace用户组。 我确信我的域设置正确,因为我可以从域中放入的其他计算机login到Active Directory中的用户,并且当我尝试从域中浏览用户对象时,系统提示用户名/密码字段,并能够查看Active Directory对象的结构。 请指教。