所以我现在几天来一直在解决这个问题。 这是我们基础架构的一个快速架构: 我们的主域控制器正在我们的数据中心的虚拟机pipe理程序中运行。 在运行到我们的MPLSnetworking之前,有两堆防火墙(Fortigate FG200D和pfSense)。 新的域控制器运行在我们的一个站点的裸机安装中,连接到MPLS,后面还有两层防火墙(Fortigate FG100D和pfSense)。 这两台服务器都运行Windows 2012 R2,它们都是最新的。 现有的域控制器将被称为DC-AD ,新的将是RNS 。 我也禁用了Windows防火墙,并在两个DC(至less是DC(DC-AD)和I-like-to-DC(RNS))之间的防火墙中制定了允许所有规则。 这是nmap扫描的结果: 从RNS到DC-AD: 从DC-A到RNS: 我已经尝试了所有我能想到的或任何可以在互联网上find的东西,但大多数问题都来自防火墙中的阻塞端口。
我正在设置一个中央打印服务器,允许没有本地打印服务器的远程办公室中的Windows 7和10客户端在从Active Directory添加打印机时自动安装打印驱动程序。 我不打算通过这个中央打印服务器运行所有的打印作业。 许多地点将使用相同品牌和型号的打印机,所以我们不需要每台打印机都有独立的驱动程序。 我很想知道打印驱动程序安装文件是否存储在打印服务器本身,或者是否可以存储在SYSVOL或另一个DFS位置,以便可以从最合适的位置提供驱动程序。
我有一个作为AD域成员的Samba 4的Debian 8。 DC是Windows Server 2008.共享能够处理Windows权限 – 我使用IDMAP backend = rid,因为我无法将uidNumber和gidNumber添加到AD帐户logging。 我可以使用getfacl和setfacl显示和设置ACL权限,但RWX设置不能设置良好的Windows权限(取所有权,读取属性,设置权限,完全控制…) 那么,是否有可能从Linuxpipe理(或至less显示)共享文件/文件夹的高级Windows权限? 重点是,我想制作一个脚本,定期检查所有共享文件,如果他们有我想要的权限。 并警惕,如果有什么错误,那么这将是一些types的现场文件检查所需的特权。
我在AD域,我想改变某人的密码(已过期,但我认为是无关紧要的)。 我不是一个ADpipe理员,所以net user <username> * /domain不起作用。 我可以改变它按CTRL + ALT + DELETE->更改密码input旧密码 ,我有; 有没有一个相当于这个过程的命令行?
我有一个已经开发了大约一个月的Spring SAML项目。 我已经集成了ADFS,一切都运行良好。 我得到了一个间歇性的错误,因为我不得不等待它似乎决定再次开始工作。 现在它比正常显示更多的错误。 在使用任意数量的testingAD帐户进行login后,我看到此错误。 错误ID 111在事件日志中 The Federation Service encountered an error while processing the WS-Trust request. Request type: http://schemas.microsoft.com/idfx/requesttype/issue Additional Data Exception details: System.ArgumentOutOfRangeException: Not a valid Win32 FileTime. Parameter name: fileTime at System.DateTime.FromFileTimeUtc(Int64 fileTime) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetPasswordExpiryDetails(SafeLsaReturnBufferHandle profileHandle, DateTime& nextPasswordChange, DateTime& lastPasswordChange)…. ADFS事件日志中的错误364 Encountered error during federation passive request. Additional Data Protocol […]
我们使用Puppet来configuration我们的服务器,但是为它们创buildKerberos密钥表是一个手动过程。 当机器第一次启动时,我们希望自动生成Unix机器的Kerberos密钥表。 这里的各种教程(比如这个 )解释了新机器本身如何获得keytab,但是这需要Samba和其他工具,我们希望避免安装。 现有的Unix机器能否从AD服务器请求另一个 Unix机器的密钥表? 怎么样? 我们是否需要编写代码(也许,使用Samba4的Python API – 目前文档很less),还是可以通过现有的工具来实现?
我们有一个带有根域(总部,总部)和4个子域的AD森林。 其中一个子域名有两个站点。 AD服务正在Windows Server 2008 R2上运行。 所有站点中的AD服务都从Window Server 2003迁移,所以在所有AD服务器中,SYSVOL共享文件夹的实际名称是SYSVOL_DFSR并且使用同一个文件夹共享Netlogon。 NTDS数据库存在于NTDS文件夹中。 在具有2个站点的子域中,新创build一个站点,并在此服务器中安装ADC(Windows Server 2008 R2)。 现在,当在新站点中提升DC时,我已经将SYSVOL创build为SYSVOL而不是在所有其他站点中存在正常的SYSVOL_DFSR 。 第一天,我在客户端系统上遇到了一些关于域名信任关系问题的错误,一旦我们重新启动客户端工作站,我们再也没有收到任何错误。 问题是,广告同步无法正常工作,因为在任何时候我创build任何帐户或做任何用户/组在任何网站的安全性的任何变化,那么它不是立即反映在其他网站域控制器(相同的子域)&采取5 -15分钟时间同步。 validation正确的ADC安装和解决站点到站点AD复制的步骤是什么? 此外,我已经手动添加位于其他站点中的子域(PDC模拟器)之间的连接。 ADC已经自动创build了与根域的连接。 在AD网站和服务中,我的企业pipe理员为我的网站创build了网站和子网。 但他后来通过位于总部(HQ)的根域创build了这两个站点之间的站点到站点桥(而不是链接)。
目前使用Active Directory证书服务。 是否有可能找出迄今为止发布和撤销的证书总数,如果是的话,我该怎么做?
我目前正在将我的公司迁移到Active Directory。 因为我的老板已经强制强制密码,所有人都需要input至less一位数字才能login他们的电脑。 其中一些有默认情况下禁用的numlock键,这是一个痛苦的屁股导致许多input错误的密码。 我试着寻找解决这个问题的办法,但是其中大部分都涉及到本地操作,或registry,或者根本无法工作。 我需要的是: 在login屏幕上启用NumLock(计算机绑定设置,无用户login脚本) 跨版本,因为我有与Winodws 7个人电脑,一些与Windows 10,甚至可能有一些Windows 8没有XP或2000年无论如何。 registry方法是依赖于版本的,所以没有了。 可以通过GPO或远程实施,因此我不必单独访问每台PC。 我已经尝试过使用切换numlock的脚本并在启动时通过GPO运行它,但是它根本不起作用,有些PC已经启用了numlock,所以这只能解决问题。
我有一个单独的Active Directory和DNS基础结构的环境,并使用多个存储服务器的DNS CNAME。 通常,Windows客户端可以正确地访问存储,无论是指向“真实”的名称还是CNAME。 \\server\storage \\cname\storage 与存储关联的Active Directory中有一个“服务器”对象,但是没有任何与DNS CNAME相关的对象。 有一天,有人创build了一个与CNAME相同的主机名并join到AD域的Windows服务器。 此服务器不在DNS中,无法到达,但AD对象的存在似乎与CNAME冲突。 当客户端试图访问\\cname\storage ,没有数据被返回。 当我们删除冲突的对象时,事情又开始起作用了。 诚然,这个名字不应该在第一个地方使用(它已经在DNS中使用了)。 但是由于DNS与AD完全分离,所以我担心这会再次发生。 有什么办法可以在AD中“保留”这个名字,这样就不会有人用这个名字创build一个新的对象,或者有其他的步骤来防止新的对象产生这个冲突?