我们已经退役了旧的W2K3 DC服务器,其上安装了CA。 CA并没有真正使用(没有PKI基础设施),只是在这里作为一个testing。 服务器脱机后,在其他服务器上有几个CertificateServicesClient-AutoEnrollment,EventID 6(RPC服务器不可用)。 我不能使这个W2K3服务器在线,那么最好的解决scheme是什么? 清理我的ADlogging,使其他机器了解,没有更多的CA( https://mssec.wordpress.com/2013/03/19/manually-remove-old-ca-references-in-active-directory/和/或部分https://support.microsoft.com/en-us/kb/555151 )? 在我们的W2K8服务器上创build一个同名的CA(简称“证书”)? 我对如何解决这个问题有些紧张,因为我不想破坏任何东西。 非常感谢你的帮助。
pipe理员帐户不断被locking。 事件日志和Netlogon日志确认帐户被locking,但未提供源计算机名称(它是空的)。 请参阅下面的屏幕截图,来自事件日志和Netlogon日志。 我怎样才能find帐户locking的来源? 谢谢!
我有多个Windows Server 2012域控制器。 我已经整理了我们的域计算机和用户,但是我们有一个MyBusiness组织单位,从公司运行一台Small Business Server。 我已将所有剩余的计算机和用户从MyBusiness\Computers\SBSComputers和MyBusiness\Users\SBSUsers移到主Computers和Users容器中。 MyBusiness Organizational Unit中唯一剩下的就是MyBusiness\Security Groups中的空白MyBusiness\Security Groups 。 我假设这些是特定于Small Business Server的,因为我们不再在小型企业服务器环境中运行,可以删除它们吗? 而在MyBusiness\Users\SBSUsers我有HelpLibraryUpdaters Cloneable Domain Controllers , HelpLibraryUpdaters和Protected Users安全组以某种方式。 这些也是小型企业服务器特定的,可以删除吗?
开始尝试将累积更新CU14应用于Exchange 2013,由于错误而失败: > Error: Setup can't use the domain controller 'Default-First-Site-Name' > because it belongs to Active Directory site ''. Setup must use a > domain controller in the same site as this computer > (xxxxx.xxxxxxxx.com). For more information, visit: > http://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.DomainControllerIsOutOfSite.aspx 所以我看了一下链接,它说: > The schema master is not running Windows Server 2003 Service Pack […]
我有在Windows Server 2012 R2成员服务器上运行的企业证书颁发机构。 每次我去请求证书时,CA的Web界面最近都开始出现错误: “没有find证书模板,您没有权限请求来自此CA的证书,或者访问Active Directory时发生错误”。 CA仍然能够颁发证书,通过PC上的MMC请求证书工作。 很明显,我使用了这个错误,并find了一些可能性,并尝试了我find的build议。 到目前为止我已经: 1)创build一个新的应用程序池,并确保该网站的应用程序池标识是NetworkService而不是ApplicationPoolIdentity 2)检查该站点是否启用了Windows身份validation,并禁用了所有其他身份validationtypes 3)检查CertDat.inc中的sServerConfig条目是否与pkiEnrollmentService中的DnsHostName条目相匹配 4)检查证书模板上的权限 5)更新了服务器 6)重新启动服务器 一切都无济于事。 我试着用我的用户帐户,它具有域pipe理员访问权限和具有企业pipe理权限的域pipe理员帐户。 我检查了事件日志。 每隔一段时间,一个条目就会出现: “Windows默认”策略模块logging了以下警告:与local.domain.controller.fqdn的Active Directory连接已重build为local.domain.controller.fqdn 但我不认为这是相关的任何事情。 我不知道还有什么其他的尝试,有没有人有任何build议? 非常感谢
我有2个域 – adatum.com和contoso.com我想要做的是允许来自一个域远程的用户连接到另一个域 我已经在这两个域之间创build了一个双向信任,但是我不能对这两个域给予必要的权利。 当我去远程桌面选项卡分配权利,我可以看到这两个域,但似乎我不能select或find组或用户从其他域,反之亦然 任何人有任何build议? 我究竟应该看什么?
我们在哥斯达黎加有一个分支机构,那时候我们已经使用AD实施了一个SSO代理服务器,并且SSO工作正常。 就在最近,我们在现场实施了一个RODC。 一旦发生了,没有人能够validation,我无法解决这个问题。 我删除了用于kerberos身份validation的AD对象,并运行以下命令: msktutil -c -b "CN=COMPUTERS" -s HTTP/PROXY.domain.com -k /etc/squid3/PROXY.keytab –computer-name PROXY-K –upn HTTP/PROXY.domain.com –server dc1.domain.com –verbose 该命令实际上在AD中创build对象,但不设置密码。 我得到以下错误: 错误:krb5_set_password_using_ccache失败(无法联系所请求域的任何KDC)错误:set_password失败 我确信这台机器可以parsing域控制器。 在这一点上,我迷路了。 已经争取了一个月的这个开关,真的可以使用一些指导。 我有其他四个相同的鱿鱼代理不坐在RODC后面,完美的工作。
尝试通过Exchange 2016中的Exchangepipe理中心更改用户/邮箱国家/地区时,我开始遇到问题。 当试图这样做,我得到这个错误: Active Directory operation failed on DC. This error is not retriable. Additional information: Insufficient access rights to perform the operation. Active Directory response: 00002098: SecErr: DSIS-03150E49, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 其他有关这个错误的报告似乎没有适用于我们的解决scheme。 奇怪的是,如果我进入ADUC,并find相同的用户帐户,我可以轻松地使用相同的域名login(域pipe理员和企业pipe理员)来更改国家/地区。 有没有人有任何想法,为什么我可以直接通过AD而不是Exchange更改此属性? 编辑:也有这个职位TechNet论坛试图找出这个问题的原因: Technet的邮报
是否有一种方法可以将所有用户的传入二级域名邮件全局路由到主域名,而无需在每个用户的AD proxyAddresses字段中列出每个可能的帐号别名和域名别名组合? 例如,用户希望能够接收到名字为lastname,firstname.lastname的邮件,在某些情况下,firstname @ primarydomain.com和相同的@ secondarydomain1.com,@ secondarydomain2.com等。
在这里寻找一些疑难解答帮助。 我试图能够在Centos7集群上validationAD用户。 为了testing这个,我正在设置Windows Server 2012 R2和Azure中的集群。 我仔细地按照这里的说明( Active_Directory_trust_setup )进行了一个修改: 我相信列出的dnscmd命令不会正确设置条件转发。 我使用Windowsgraphics用户界面,并得到正确的结果。 (至lessnslookup和dig命令给出了正确的答案。) 我现在的行为是: ipa信任展示显示信任 Ipa trustdomain-findfind一个条目 getent passwd [email protected]作品并显示正确的信息 su [email protected]请求密码并返回“validation失败” mstest到Linux的盒子也authentication失败 我不知道在哪里找出我做错了什么。