我发现: modifyTimeStamp是从whenChanged构造的,两者都没有被复制。 但是,我还没有findModified属性的定义或解释,尽pipeModified与modifyTimeStamp和whenChanged相同。 那么, Modified和modifyTimeStamp之间有什么区别呢,如果我需要在一个对象上做一些工作 – 删除,移动,禁用等,最好使用哪个值。 例如: if ($modifytimestamp -le $somepointintime) { do something because nothing has been done since somepointintime } 或者,如果我需要根据时间对某个对象做些什么,那么最好使用什么属性?
我们已经configuration了一个TS负载平衡服务器场,它由作为TS Broker的Active Directory服务器和作为服务器场成员的6个terminal服务器组成。 负载平衡设置为基本的DNS轮询,并通过AD服务器上的公共网关访问。 我们已经注意到负载平衡组件在非function性方面显得非常不一致。 我们经常有60个用户login到一个单一的terminal服务器,20或30在另一个和大多数的服务器没有任何负载。 发生这种情况时,我们可以同时访问所有的terminal服务器和网关,但是不知道是什么使负载平衡分配的方式。 也许AD有关? 有没有人有任何想法/build议适当的configuration/重量? 这是在bochspipe理程序上托pipe的标准Server 2008 R2。 感谢洞察!
我们的许多2008R2服务器中的一个不断失去与域的连接,这意味着用户不能login到服务器上的共享等,并且基本上变得无用。 发生这种情况时有时由服务器生成的事件是3210与错误代码0xC0000022。 但是,这并不总是发生。 运行NETDOM RESETPWD /Server:AD01 /UserD:domainadmin /PasswordD:domainadminpassword使它再次工作,直到它再次死亡。 有时几分钟后,有时几天后。 我们也尝试了服务器上通常的unjoin / rejoin域名,但没有成功。 现在每天发生4-6次,所以这是一个很大的问题。 服务器运行的唯一服务是文件共享和打印服务。
我已经inheritance了一个可能从来没有完全整合过的系统。 我们有一个简单的设置 – 一个Windows 2008 R2服务器用于远程桌面和远程应用程序访问由我们公司的用户。 用户使用域凭据login本地计算机,并根据他们需要执行的工作,打开远程桌面连接或远程应用程序到RDS服务器。 SSO似乎比实践中certificate的要容易得多。 其中一项用户投诉是“为什么我必须多次input密码?” 我已将Active Directory身份validation与许多应用程序集成在一起,以减less用户名和密码的数量,并像所有他们明白的并希望得到更多的好用户一样。 我遵循这里列出的方向。 不幸的是,它似乎没有做到这一点。 我应用了凭据委派的策略,并确认了RDS服务器的设置是正确的。 当我继续连接到服务器 – 我得到提示input我的凭据。 我担心的是,Windows 2008 R2远程桌面服务器上的自签名证书可能存在问题,但是我不知道如何从这一点开始。 当我们只在内部使用这个服务时,我发现的一切都是为了获得一个公开发放的证书。 我试过将证书导入到我的testing客户端机器上。 客户端,DC和RDS之间的所有端口都是打开的。 我只是觉得可能有一块拼图在某处丢失。 我已经通过微软的文章和博客和文章进行了search – 似乎没有任何东西让我去我需要去的地方,虽然它似乎是一个普遍尴尬和挑剔的工作。 任何提示或build议? 提前致谢。
我们正在尝试查询Active Directory中所有属于某个组的成员的机器列表,以及诸如OperatingSystem属性之类的信息。 我们无法得到每个小组成员的结果。 环境详情: 多个域控制器,运行Windows Server 2003和2008 R2。 多个域,域之间具有信任关系。 从Windows Server 2008 R2机器运行AD查询。 查询AD的帐户是“本地pipe理员帐户,该域的成员,在该服务器上具有pipe理权限”。 我们被告知有些机器是“通过信任关系成为小组的成员”。 我们目前的testing组“Group-99”有两台机器:FOO10和FOO11。 当我们查询小组成员时,我们收到预期的结果,小组中所有机器的列表: PS > dsquery group -name "Group-99" | dsget group -members "CN=FOO10,OU=Domain Controllers,DC=activedirdev,DC=widgetco,DC=com" "CN=FOO11,OU=Portland,OU=Domain Controllers,DC=activedirdev,DC=widgetco,DC=com" 然后,我们查询DNSHostName和OperatingSystem,但只能接收两台机器之一的结果: PS > dsquery * -filter "(&(objectClass=Computer)(objectCategory=Computer)(sAMAccountName=FOO11$))" -attr sAMAccountName operatingSystem sAMAccountName operatingSystem FOO11$ Windows Server 2008 R2 Standard PS > dsquery * -filter "(&(objectClass=Computer)(objectCategory=Computer)(sAMAccountName=FOO10$))" […]
我最近不得不协助在Exchange CASarrays上设置Exchange Alternative Service Account(ASA)凭证。 我们确实得到了ASA正常工作,但是我有一些关于ASA Credientials如何工作的问题。 该scheme是我们需要启用Exchange CASarrays进行Kerberos身份validation。 我熟悉Kerberos,并知道在这种情况下,您需要在Active Directory中创build一个服务帐户,并将所有必要的SPN与该服务帐户关联起来。 此时,对于大多数负载均衡或群集服务,您将访问群集中的每个节点,并将服务configuration为负载平衡,以使用您创build的服务帐户。 configurationExchange CASarrays进行Kerberos身份validation时的确如此。 Microsoft提供了一个名为rollalternativeserviceaccountpassword.ps1的脚本,该脚本自动configurationCASarrays的所有成员上的服务,以使用您创build的服务帐户。 这里是关于这个过程的一些文件 http://technet.microsoft.com/en-us/library/ff808312(v=exchg.141).aspx 脚本工作,我们的arrays正在使用Kerberos,但脚本部署服务帐户的方式似乎是非常奇怪的。 运行脚本之后,我期待看到作为服务帐户运行的arrays成员上的各种Exchange服务和应用程序池,但是他们不是。 它们仍以其他本地系统或networking服务运行,而不是服务帐户名称。 我对Kerberos的理解告诉我这是行不通的,但显然是这样。 我做了更多的研究,并find了这篇文章。 http://technet.microsoft.com/en-us/library/ff808313(v=exchg.141).aspx 这表明,不pipe怎样,操作系统的行为已经发生了一些变化,以便LocalSystem和NetworkService都能像服务帐户一样行事,就像LocalSystem和NetworkService一样。 相关的段落在“解决scheme”部分。 除此之外,这个文件似乎几乎没有关于ASA如何工作的信息。 有人可以解释这是怎么完成的?
当使用net ads join命令将Linux主机(CentOS 6.5)join域(Windows Server 2008 DC)时,会创buildAlogging,但不会创build对应的PTRlogging。 是否有可能自动创buildPTRlogging? net ads join的参数或者/etc/samba/smb.conf一个设置? 仅供参考我运行joinDC的主机的完整命令: sudo net ads join createcomputer="machines/Servers/Linux Servers" osName="CentOS" osVer=6.5 -U banjer 在Windows Server上手动创buildDNS Alogging时,会自动创buildPTRlogging。 让我知道如果你需要更多的信息。
在我的公司有很多服务器,用户远程login到他们的职责。 我们已经启用了计算机证书自动注册,以确保安全连接。 但是由于我们有一些具有多个DNSlogging的服务器,很可能用户不使用服务器的主DNS名称,或者使用它的IP地址,以便在尝试连接时出现证书错误。 因此,我们希望能够自动将所有DNSlogging和服务器的IP地址包含在证书的主题备用名称中。
我正尝试使用以下命令通过ldifde更改当前login用户的密码: ldifde -i -f pwd.ldif -t 636 我的AD服务器以自签名证书的SSL模式运行。 pwd.ldif包含以下内容: dn: CN=test,cn=users,dc=skenzo,dc=ad,dc=com changeType: modify replace: unicodePwd unicodePwd:: InF3ZWRzYUAxMjMi – 现在,这工作,当我以pipe理员身份运行命令,因为默认的权限来更改密码在那里。 但是,每个用户都应该有权更改自己的密码。 这就是我为什么要这样做的原因。 完整日志在这里给出: Connecting to "<server-name>" Logging in as current user using SSPI Importing directory from file "pwd.ldif" Loading entries. Add error on entry starting on line 1: Insufficient Rights The server side error is: 0x5 […]
你好我正在寻找备份我的2008 R2域控制器,我们有1个森林和2个域控制器,idomain-1和idomain-2 idomain-2用于故障转移,idomain-1复制到它。 已经做了一些广泛的阅读,它看起来像系统状态是我想要的最好的备份方法,我将创build脚本来自动备份过程和存档系统状态预定的天数。 它想知道的是系统状态备份也将备份我的DC的DNS和DHCP部分? 还是我需要运行额外的系统状态? 非常感谢BpdZenith