我需要在远程域上的远程桌面网关上执行身份validation。 我们有一个内部企业networking与域corpdomain 。 另外,在具有域dcdomain的远程数据中心站点上有一个networking。 使用远程桌面网关rdgateway通过远程桌面访问rdgateway上的计算机(在每台计算机上使用本地帐户)。 我想要的是, corpdomain中的用户可以使用其corpdomain帐户对rd网关进行身份validation。 所以rdgateway必须能够validation远程域corpdomain中的用户。 这必须在对corpdomain安全影响最小的情况下实现。 由于RD网关不支持RADIUS身份validation,我想到的两种可能性是: build立从dcdomain到corpdomain单向信任。 让身份validation在WAN上运行(如果可能,通过VPN或SSL进行保护) 在dcdomainnetworking中放置一个corpdomain的RODC。 在域之间使用单向信任。 所以rdgateway可以在本地validation这个RODC。 不会有大量的身份validation,因此RODC身份validation的cachingfunction将不重要。 从安全angular度来看,更喜欢的方法是什么? 有没有其他的select?
我们目前的networking布局如下: 1个Active Directory服务器(WinSrv 2008 R2) 1个MS SQL服务器(WinSrv 2008 R2) 1个远程Web服务器, SmarterMail Pro正在处理所有与邮件相关的任务 6本地MS Outlook 2007/2013的POP3帐户 我们希望集中邮件数据库备份,使用单个Active Directorylogin和共享日历,联系人等。 请考虑: 我们计划在几年内达到10个账户 我们有一个静态的IP,但没有任何关于如何保持本地Web服务器安全和99.999%的正常运行时间的知识 当然是有限的预算。 你有什么build议? 谢谢。
当我拔下其中一个Active Directory服务器的以太网电缆时,尽pipenetworking上有一个不同的Active Directory服务器,但我的应用程序无法对用户进行身份validation。 这是为什么? 我期望,如果其中一个Active Directory服务器失败,其他人可以处理请求。 我使用Windows Server 2008 R2 64位。 我有一个IIS应用程序,用于对Active Directory进行身份validation。 string serverName = ConfigurationManager.AppSettings["AD.Server"]; string userName = ConfigurationManager.AppSettings["AD.User"]; string password = ConfigurationManager.AppSettings["AD.Password"]; _principalContext = new PrincipalContext(ContextType.Domain, serverName, userName, password); 这里是configuration设置: <add key="AD.Server" value="192.168.0.1"/> <!— THIS IS THE PRIMARY PRODUCTION SERVER –> <add key="AD.User" value="Domain\Administrator"/> <add key="AD.Password" value="******"/> 然后,我build立了另一个Active Directory服务器(让它为192.168.0.2)。 它与生产服务器成功同步。 后来,当我closures第二个AD服务器时,我的应用程序失败,例外“服务器不可操作”。 这是为什么? […]
我们有两个独立的具有信任关系的Active Directory域。 当我在另一台机器上访问networking共享时,即使我以有权访问共享的用户身份login,系统也会提示input用户名和密码。 此外,对话框底部还有以下信息: “该系统已经发现了一个可能的危及安全的企图” 这对我们正在运行的服务中的一个造成严重的问题。 这是行为吗? 我不希望必须重新input我的凭据,因为这些凭据应该被传递,这会导致程序访问networking共享时出现问题。 有没有人有任何build议来帮助诊断问题?
我想知道如果你们知道是否有任何限制,如果我正在运行服务器2012年基础,我有多less用户可以在我的SharePoint站点2013年,我想我看到的地方有一个活动目录15用户限制对于2012年的基础,但不能确认是否确实适用于Active Directory或Sharepoint。 任何帮助深表感谢! 谢谢
设想一家公司,只有五名员工,一个独立的虚拟/云端远程桌面服务器足以满足公司的所有需求。 此RDS存储客户的所有程序和文件。 所有用户帐户都在RDS服务器上创build。 现在我们要实现一个用于VPN访问的SSO。 在其他基础架构上,我们可以使用LDAP访问AD,为防火墙上的每个客户使用相同的用户数据库。 有没有可能使用LDAP访问RDS本地用户? 找不到任何工具/服务。 据我所知,AD LDS为用户提供自己的数据库服务。
当我在Exchange控制台中,并且在收件人configuration – >通讯组下,一些DL灰显如下所示: 彩色的我可以调整谁在组中,而灰色的我不能。 为什么是这样的,我该如何做到这一点,以便我可以添加/删除任何需要增强的分发列表中的人员? 谢谢 链接:
OS – Window Server 2008(域控制器)AD中的一个用户对象正在创build问题以及我无法手动删除它也。 请参阅下面的错误。 在事件查看器我越来越错误 所以我想从ldap.exe中删除它,我仍然得到下面的错误 我也尝试通过安全模式修复数据库 – Active Directory修复模式。 即通过esentutl /gc:\Windows\ntds\ntds.dit和esentutl /pc:\windows\ntds\ntds.dit,但它也给我错误。 您的帮助将非常有帮助,并感谢您的时间和努力。
我们为一些中小型企业提供托pipeIT服务。 我正在寻找一种解决scheme,以可扩展的方式pipe理我们访问我们客户的AD森林。 现在,我们在AD中手动创build自己的login,并拥有足够的权限。 正如你可以想象的,这不能很好地扩展,因为我们获得员工和需要能够撤销密码等…涉及手动login到每个客户端更新广告。 对于我们几乎所有的客户,我们都pipe理着他们的整个IT基础架构,包括AD,所有的服务器,networking等。所以如果我们能够获得可靠的解决scheme,我们应该能够合理地修改客户端的ADconfiguration来实现我们的目标。 我们也做托pipe的服务,所以我们有一个可靠的方式来托pipe我们自己的基础设施,供客户同步回去。 我想要什么 一种能够集中pipe理多个客户,跨站点/森林等的AD帐户的方法… 我们最好转换为在客户的AD中为我们的每一位技术人员创build自己的账户,因此我们有一定程度的责任心,并且访问策略可以更细化。 显然,上述观点引起了客户AD的污染(尽pipe我们现在没有太多的人),所以我们要尽量避免客户不得不经常看到我们的用户。 这当然是一个棘手的问题,但也许简单地把我们的用户放在一个单独的OU中就可以部分地解决这个问题。 我们的主要目标是简化招聘/解雇stream程,并减less人为错误的可能性(例如,在访问分解期间错过禁用客户X的访问)。 因此,密码重置,禁用用户等应该在一定程度上同步。 我认为权限不是一个问题,因为无论如何它们可能是以每个用户为基础的。 多平台也是一个目标。 我们需要能够pipe理路由器和Linux机器,RADIUS似乎是一个明显的select。 服务器主要是Windows 2008 R2,包括一些Windows 2012,一些Linux,思科和Juniper设备。 我应该添加RADIUS等…不应该是AD的唯一来源。 目标是让客户现有的AD帐户满足他们的需求,然后从RADIUS导入我们自己的AD帐户。 我所试过的 到目前为止,我一直关注如何将RADIUS帐户集成到AD中 – 但是我发现的一切都是关于使用AD作为AD集成的主要来源,而我想要更多的是相反的。 我认为RAIDUS对我们很有意义,因为我们的托pipe基础设施很多都是非Windows的,尽pipe我们的客户主要是基于Windows的。 我们正在为我们的DSL尾巴提供RADIUSauthentication,无论如何。 对于所有员工账户拥有单一的事实来源是有意义的。 非常有兴趣听到类似情况的人们能够解决这个问题,因为我没有在网上find太多的东西。 谢谢。
在我们当前的AD设置中,我们有以下域控制器: DC1:Server 2012 R2,Operations Master(所有angular色) DC2:Server 2012 R2 Mailserver1:Server 2003,也承载Exchange 2007 森林function水平是2003年。 但是,没有GPO正在复制到邮件服务器。 当检查一个GPO的状态,它说SysVol Inaccessible 我在网上寻找任何解决scheme,但我找不到任何东西。 谈到Active Directory,我相当黑暗,所以我不知道从哪里去。 有人认识到这个问题,或有一些共同的原因? 任何帮助将非常感激。 更新 根据要求,在MAILSERVER1上输出NET SHARE Share name Resource Remark ——————————————————————————- IPC$ Remote IPC C$ C:\ Default share ADMIN$ C:\WINDOWS Remote Admin Resources$ C:\Program Files\Microsoft\Exchange Server\bin\res "Event logging files" Address C:\Program Files\Microsoft\Exchange Server\Mailbox\address "Access to address objects" CertEnroll […]