我的Windows 2003服务器有这个恼人的问题…这发生了好几次,直到现在,我唯一的解决办法是重新启动服务器… 问题是,当我打开AD(dsa.msc)没有尝试去用户属性(右键单击用户,属性)它只是没有做任何事情…它不打开属性窗口,它doesn不要给错误,没有什么…简单的说什么都不做 你知道是否有一些服务,我可以重新启动,所以我可以再次看到这些窗口,或者我必须不断重新启动服务器?
我几乎把所有的时间花在Linux \ Networking上,但是我试图设置一个多站点的ADconfiguration。 没有根站点或类似的东西,我只有SiteA中有两个DC,SiteB中有一个DC。 他们都相互复制。 我身在SiteB。 在实际设置Active Directory站点和服务中的站点之前,我的testing机器将在SiteB-DC01 , SiteA-DC01和SiteA-DC02之间弹跳。 设置完成(站点和子网)后,我的SiteA机器正在使用SiteA DC,而我的SiteB机器正在使用我的SiteB DC。 我通过发出echo %LOGONSERVER%确认这一点。 这一切都很好,但是… 当SiteB的DC发生故障时会发生什么? 为了模拟这一点,我拿走了SiteB的DC,SiteB中的客户抱怨No logon server could be found 。 我试图在Forward Lookup Zones->DOMAIN->_sites->SiteB->_tcp创build一个额外的_ldap SRVlogging无济于事。 我将SiteB DC的优先级设置为0,将SiteA DC设置为1.这是正确的方法吗? 另外,所有不同的SRVlogging位置之间有什么区别? 我找不到多less文件: 域 – >站点 – >站点SITE_HERE – > _ TCP 域 – > _ TCP _msdcs.DOMAIN-> DC – > _站点 – >站点SITE_HERE – […]
我们有一个不断被阻止的用户。 我们检查了域控制器中的日志,显示的所有信息都是一个WINDROID设备。 我怎么知道哪个设备造成这种情况? 有没有办法更深入地分析这个?
我们公司有一个域名森林,有两个域名(domain.EMEA和domain.GLOBAL) 我们以前收购了一家公司(domain.LOCAL),本网站的所有工作站都是domain.LOCAL的成员,但用户是domain.EMEA的成员 有从domain.LOCAL到domain.EMEA和domain.GLOBAL的单向信任 我正在将用户从domain.EMEA迁移到domain.GLOBAL,为此我需要暂时让用户在工作站的站点pipe理员。 为此,我希望在domain.LOCAL中创build一个安全组,并从该站点添加用户,并将安全组推送到工作站本地pipe理员组。 我发现虽然所有组策略似乎来自用户所属的域,即使工作站是domain.LOCAL的成员。 任何人都可以指出我正确的方向,使domain.LOCAL GPO适用于domain.LOCAL工作站,或者build议另一种方法来完成使这些用户本地pipe理员。 注意:由于母公司的规模,获取在domain.EMEA或domain.GLOBAL中创build和推送的组策略是非常复杂的,可能需要数周时间才能完成。 通过domain.LOCAL工作将是可取的…
当域用户帐户被locking时,我无法使Windows Server 2008进行日志logging。 我的域控制器都是Windows Server 2008 R1。 我能够find不正确的用户名/密码的审计失败事件(ID 4771),但是当错误的尝试次数过多时,帐户被locking时无法find。 到目前为止,我从在线阅读中发现,“审核帐户locking”组策略(在计算机configuration>策略> Windows设置>安全设置>高级审核策略configuration>审核策略>login/注销时发现)必须设置为失败它logging失败,但它仍然没有被logging。 我已经在默认域策略和默认域控制器策略下configuration了这个策略,因为默认情况下在这里启用了很多帐号/密码策略,通常我不碰这些GPO。 经过testing,我可以看到事件ID 4625logging在客户端的本地事件日志上,但不在DC上。 再次,我可以看到DC上的不正确的用户名/密码事件4771(我也检查过所有的DC日志),而不是4625。 注意:当我在组策略中configuration审计帐户locking事件时,我通过工作站上的RSAT工具对其进行了configuration。 当我尝试在DC本地configuration它时,该特定设置不可用。 我的工作站是Windows 8.1,服务器是2008 R1。 我不知道这是否有所作为,但我已经使用我的工作站configuration组策略之前,我不能在DC上configuration,他们已经工作。 谢谢。
我需要使用AD FS在我的Web应用程序上对用户进行身份validation,但是当他们从我的网站redirect到ADFSlogin页面时,他们收到错误的页面,并且无法引入凭据。 我的联合configuration如下所示: issuer=https://sts.mynetwork.com/adfs/ls/ realm=https://localhost/ 如果将此configuration用户redirect到AD FSlogin页面,则不允许他执行任何操作,因为存在错误并且没有用于凭据的字段。 当我将联邦configuration更改为: issuer=https://sts.mynetwork.com/adfs/ls/ realm=urn:federation:MicrosoftOnline 用户可以login,但只能login到Office 365。 所以我假设服务器configuration不允许AD FS到外部网站,而是到Office 365。如何configurationAD FS使外部网站能够使用AD FS身份validation?
所以我有我的Windows笔记本电脑使用802.1X身份validation连接到我的WPA2企业WiFinetworking。 除了一个边缘情况,这个效果很好。 这些笔记本电脑是Windows 7 Pro和Windows 8 Pro。 作为背景,我只能够让用户成功login到这样一台笔记本电脑,如果他们的configuration文件已经以某种方式在笔记本电脑上存在 – 即caching的凭据用于login,然后传递到802.1 X进程授权连接到WiFi。 我现在正在运送没有物理以太网连接器的笔记本电脑,这意味着我不能让用户在通过电线连接时第一次login。 因此,我有一个鸡蛋和鸡蛋的问题: 没有caching的凭据; 笔记本电脑不会尝试连接到WiFi,因为没有凭据可以通过 笔记本电脑无法validation凭据,因为没有networking来执行身份validation 我想要的是一种方法来设置笔记本电脑将身份validation信息传递到WiFinetworking,然后再尝试将用户身份validation为用户。 换句话说,使用传递的凭证设置networking,以便我们有一个networking来执行身份validation。 我努力了: 为此networking启用单一login 在用户login之前立即执行 HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run运行 regedit更新 计算机configuration\策略\pipe理模板\系统\login\始终等待networking在计算机启动并login本地策略更改 最后两个似乎取决于networking是PSKnetworking,而不是企业networking,因为在login之前networking连接失败,因为没有用于连接的凭证。 有没有办法使这项工作,或者我坚持购买USB以太网适配器,并让用户做他们的第一次login使用?
我正在运行Google应用密码同步,但只会触发“密码更改”事件。 我们所有的用户都是通过远程数据库进行pipe理的,通过一个服务同步AD到远程数据库,使用dsmod来pipe理AD。 有没有一种方法可以告诉AD将每个密码重设为当前密码(即不变),强制GAPS同步? 通过服务重新运行同步不会触发GAPS。
在我的活动目录设置(作为域控制的Windows Server 2012r2)中,我有一个名为“TestComputers”的组。 我有一个叫做“Computer1”的域计算机,它是这个组的成员。 在那台计算机上,当我运行GPUpdate然后GPResult时,在“计算机是以下安全组的一部分”下,它不显示这个组。 但是,它在“用户是以下安全组的一部分”下面显示了该组。 为什么它将用户与组相关联,而不是与组相关的计算机? 计算机认识到它是其他内置计算机组(如“域计算机”)的一部分。
背景 我们目前有两个networking,一个在伦敦,一个在布赖顿。 我们使用Office 365来处理电子邮件,Lync和Sharepoint,所以没有Exchange服务器。 两个办事处都通过VPN连接。 伦敦是一个50个用户的较大办公室,在EFM生产线上的范围是192.168.0.0(255.255.255.0)。 布莱顿是5个用户的小型办公室,在BT无限远处的范围是192.168.16.0(255.255.255.0)。 布赖顿目前在自己的域名上有一个旧的2003年小型企业服务器,这意味着他们访问时不能login到我们的伦敦域名,反之亦然 – 伦敦的域名控制器也是2003年的服务器。 上周五,我们将在伦敦推广一个新的2012 R2域控制器。 作为这一过程的一部分,我想完全移除布莱顿域,并将布莱顿networking带入伦敦域。 我们为Brighton新增了一台服务器,用于在192.168.16.0networking上执行DHCP,DNS和文件服务器angular色。 我希望所有的Active Directory和组策略function都可以从Brighton的服务器上委托给我们在伦敦的新域控制器。 问题 Brighton的DNS服务器如何在不同的IP范围内find伦敦的Active Directory服务? 我们需要设置一个SRVlogging来告诉服务器在哪里获得AD和GP服务? 直stream复制是一个更好的方式去这里? 这是否适用于DR和HA目的? 复制是否会增加额外的冗余(重新回答这个问题 )。 我只想pipe理伦敦DC的Brighton办公室用户(布赖顿没有IT职能)。 最后是上述方法 – 我们没有采取上述策略做任何事情吗?