我已经读过MS文档,默认情况下,DomainDnsZones.domain.com和ForestDnsZones.domain.com应用程序分区是在森林中的第一个DC上运行DCPROMO时创build的。 是不是也创build了_msdcs? 它只是一个DNS区域,还是它自己的应用程序分区?
我正尝试在从Microsoft Active Directory证书服务生成的embedded式系统上使用证书和私钥。 NDES和SCEP目前在范围之外,因此需要半手动。 我在我们的AD CA服务器上使用https:// server / certsrv上的Microsoft Web工具。 我可以在没有CSR的情况下通过并生成响应,并将证书导出到私钥中。 响应是一个页面,要求我“安装此证书”或“保存响应”。 如果我运行“安装此证书”选项,则Windows Certmgr应用程序会显示我已导入证书并拥有私钥。 这可以作为PKCS#12文件导出,可以使用或转换为PEM。 但是,如果使用“保存响应”选项并将文件存储为p7b(如在检查响应文件时由certutil所示),然后使用p7b文件导入证书,则没有可用的私钥。 这是一致的,因为我不希望PKCS#7文件存储私钥。 我的问题: PKCS#7文件格式似乎不支持私钥,而OpenSSL似乎不支持从PKCS#7文件中提取私钥。 有没有办法使用certsrv web工具,并获得证书和私钥,而不必在Windows中“安装此证书”? 此外,跆拳道是继续,让MS安装私人钥匙,我似乎无法获得? 我查看了文件https://dakota.main.lab/certsrv/certfnsh.asp中的脚本,他们似乎使用了与“save response”输出中显示的相同的pkcs#7数据。 提前致谢。 Dinsdale
我正在尝试安装rundeck,以便对Active Directory进行身份validation 我不断收到这个错误 维基包含有关403. Reason: !role信息。 403. Reason: !role错误https://github.com/rundeck/rundeck/wiki/FAQ#i-get-an-error-logging-in-http-error-403–reason-angular色 Rundeck 2.6.2-1(从.deb安装) Ubuntu 14.04 JAAS-的ldap.conf ldap { com.dtolabs.rundeck.jetty.jaas.JettyCachingLdapLoginModule required debug="true" contextFactory="com.sun.jndi.ldap.LdapCtxFactory" providerUrl="ldap://DC01.example.com:389" bindDn="cn=rundeck,OU=MyOU,DC=example,DC=com" bindPassword="correct-horse-battery-staple" authenticationMethod="simple" forceBindingLogin="true" userBaseDn="DC=example,DC=com" userRdnAttribute="sAMAccountName" userIdAttribute="sAMAccountName" userPasswordAttribute="unicodePwd" userObjectClass="user" roleBaseDn="DC=example,DC=com" roleNameAttribute="sAMAccountName" roleUsernameMemberAttribute="cn" roleMemberAttribute="member" roleObjectClass="group" cacheDurationMillis="300000" supplementalRoles="user" reportStatistics="true" timeoutRead="10000" timeoutConnect="20000" nestedGroups="true"; }; /var/lib/rundeck/exp/webapp/WEB-INF/web.xml … <security-role> <role-name>Enterprise Admins</role-name> </security-role> … 轮廓 … export RDECK_JVM="-Djava.security.auth.login.config=/etc/rundeck/jaas-ldap.conf \ -Dloginmodule.name=ldap […]
我正在寻找基于AD属性创build传出电子邮件的一些传输规则。 例如。 电话:123-456-7890 实际插入的代码看起来像“Phone:%% PhoneNumber %%”,从AD中检索电话号码。 这部分工作正常。 设置我的运输规则,我包含以下条件: 但是,这种情况不起作用。 我已经试过了,没有单引号,没有前面的^。 真的,我只想要确保%% PhoneNumber %%不是空的规则。 任何人都知道如何使Exchange做到这一点?
我在2个RHEL7节点上设置了GPFS / Spectrum Scale群集。 在那个集群上我创build了一个文件系统。 我想用kerberos启用基于LDAP的身份validation,以便我可以使用NFSv4 ACL来控制访问 在GPFS / Spectrum Scale群集的pipe理节点上,运行以下命令: mmuserauth service create –type ldap –data-access-method file –servers 9.xxx.xxx.xxx –base-dn dc=test,dc=sub,dc=domain,dc=com –user-name cn=bind,dc=test,dc=sub,dc=domain,dc=com –password xxxxxxx –netbios-name host1 –enable-kerberos –kerberos-server 9.xxx.xxx.xxx –kerberos-realm test.sub.domain.com 我收到以下错误: Either failed to create a samba domain entry on LDAP server if not present or could not read the already existing […]
我正在为想要为组查询AD的产品configurationAD身份validation。 这个查询没有find,供应商提供了这个 (objectClass=group)(objectClass=groupOfNames)(objectClass=groupOfUniqueNames)&(cn=*)((objectClass=group)(objectClass=groupOfNames)(objectClass=groupOfUniqueNames)) 作为他们用来返回组列表的filter。 我不是一个LDAP专家,但是这似乎不适合我习惯看到的(我们用括号括起来的“attribute = value”集合,前面加了(或)|的前缀)。 这可能是一个更大的filter提取,但它仍然看起来不正确。 我试图使用我运行LDAP查询使用的脚本来testing这个,我只是得到错误。 这是一个有效的LDAP查询?
我是我的networking域pipe理员,一些打印机设置不允许我改变。 我必须login到本地pipe理员才能更改打印机设置。 这可以启用域pipe理员?
我是一个对Active Directory有一定了解的程序员。 我曾经问IT经理是否可以在我的开发计算机上安装Active Directory,他告诉我绝对不会和公司全面的Active Directory安装冲突。 题 安装和使用Active Directory轻型目录服务是否会损坏或干扰同一networking上的(非轻量级)Active Directory安装?
我有一个testing设置包含: 3个AD域控制器(设置为在它们之间进行复制),所有这些域控制器都在Univention Corporate Server 4.1上运行Samba 4.3 1个Windows 7 SP1客户端join到域中 1运行napp-it 16.02f的OmniOS r151018文件服务器join到为某些域testing用户设置的SMB / CIFS共享域 域名按照我的预期工作,Windowslogin工作,文件服务器访问工作,DNS以及直接IP连接工作,甚至closures一个DC工作时的故障转移。 唯一不起作用的是我无法在Windows 7机器的networking浏览器/networking邻居中看到OmniOS机器 。 在search所有计算机时,我可以在“searchActive Directory”中find它,并使用\\hostname (或IP)连接到它,而不会出现问题或延迟。 它似乎并没有正确宣传自己。 其他3台服务器和Windows机器本身就是人们所期望的,只有当机器断电时才会消失。 当search解决scheme时,我发现build议设置smb属性system_comment ,但似乎没有做任何事情,即使重新启动。 另外,我还注意到,随着OmniOS r151016和r151018的更新,与r151012相比,工作组模式下的常见直接发现不再适用(只能通过IP访问)。 这可能与我的问题有关系,也可能与我的问题没有关系,除了OmniOS版本的Illumos版本的“多个SMB支持变更”,我找不到任何更详细的信息。 造成这个问题的原因可能是什么?如何解决? 作为一种解决方法,networking驱动器的直接映射是可行的,但是如果共享的数量增加,这可能会成为问题。
我想遍历所有域名服务帐户,并确保用户无法使用该帐户login服务器。 如何检查服务帐户是否具有交互式login权限和/或远程login权限? 它们不是托pipe服务帐户,因为它们在多个服务器上用作服务帐户。 我尝试了gpresult /s myservername /user myusername /h gpreport.html但是我不太了解这个报告。 有一个部分: Security Group Membership when Group Policy was applied MYDOMAIN\Domain Users Everyone BUILTIN\Users BUILTIN\Administrators NT AUTHORITY\REMOTE INTERACTIVE LOGON NT AUTHORITY\INTERACTIVE 这最后2是什么让这个用户login到服务器? 还是有一个组策略,我可以检查并寻找使用命令行?