我们有一个名为的Windows Server 2003 AD域。 它与另一个AD域具有双向信任关系,并且每个域中的DNS服务器被列为其他域的DNS服务器(即,我pipe理并且我的DNS服务器具有正向查找区域 我所说的领域有一个双向信任是非传递性的。 他们通过VPN(硬件控制) 这一切都工作正常,直到我们推出了Windows 7的客户几乎所有的用户。 以前,访问\ filesvr.companyname.local工作正常,给了我们的目录列表等。对于Windows 7客户端这是行不通的,我相信因为“DNS权力下放”。 当我在受信任域中的主机(如filesvr.companyname.local)上执行nslookup时,它将查找* .local.co.uk的DNS条目,这显然不是我在远程位置的内部文件服务器! 我试图在GPO中closures域授权设置,但似乎没有任何区别。 我不明白的是,我的AD控制器是客户的networking设置中列出的唯一的DNS服务器,没有备份列出,所以DNS查询通过我的AD控制器,它似乎完全忽略的事实,该区域是一个它已经有了新的logging。 我是否需要closures服务器上的域授权设置?
根据我之前的问题进一步调查,以及@Shane Madden的良好build议,我有以下的环境: 2个Windows Server 2008 R2成员服务器 COSTELLO(Build Server) GRECO(SQL Server) 2个Windows Server 2008域控制器 RONNIE REGGIE 16台客户机,混合使用: Windows 7的 OSX 偶尔两个成员服务器的DNSlogging被删除。 我已经尝试了以下内容: 在服务器和区域级别禁用老化和Scavanging。 禁用然后重新启用每个服务器的“在DNS中注册此连接的地址”。 启用Directory Service Changes安全审核 。 我已经通过域控制器和成员服务器上的System , Security和DNS Server事件日志,找不到任何与正在删除或修改的DNSlogging相关的任何事件。 我已经检查复制工作正常,通过手动创build一台服务器上的logging,并看着他们复制到另一台。 关于为什么这些logging是在5天前发生的,然后在昨天和昨天再过夜,似乎没有任何韵律或理由。
是否可以通过使用OpenID(或OAuth),IIS,集成Windows身份validation,活动目录对Intranet WordPress站点进行单点login? 我想让Active Directory用户自动login到像WordPress这样的非IIS(LAMP)内联网站点。 我们有内部网站,用户使用集成的NTLM自动login。 我们可以在用户使用其域凭据自动login的IIS站点上托pipe一个OpenID提供程序吗?
我有一些Windows域中的Windows笔记本电脑的用户,往往无法连接到域networkinglogin。我最初设置他们的机器,login他们,设置他们的个人资料,它的工作很好 – 我相信2个星期左右 但是,除非能够插入networking才能连接到域控制器,否则最终无法login到其计算机。 我喜欢这个,但是对于某些特定的用户来说,允许他们继续login更长的时间或者无限期地login是很好的。 我知道我可以为用户在电脑上创build一个本地用户,但是还有其他的select吗? 例如,如果我创build一个受限制的组来使用户成为活动目录中的本地pipe理员 ,那么这样做是否有效并阻止了这个超时时间? 或者,我可以在本地机器上做些什么? 也许有一种方法可以指定AD中的用户或机器的超时时间?
我已经使用squid设置了一个代理,使用Kerberos / ldap作为身份validation。 我用这篇文章作为参考: http : //www.howtoforge.com/debian-squeeze-squid-kerberos-ldap-authentication-active-directory-integration-and-cyfin-reporter 我试图使用IE浏览器的代理,它的工作原理。 但是它不适用于Chrome和Firefox。 (我不确定它在Chrome上无法正常工作,事实上Chrome在IE上的networking设置相同)。 在IE上input我的帐户详细信息后,它可以正常工作,但在Chrome和Firefox上,它不接受我的用户名和密码。 在Firefox上,自动代理configurationURL是http:// wpad。 例如。 com /wpad.dat(我只是使用空格,以便它不被识别为链接) network.negotiate-auth.trusted-uris指向http://示例。 COM 这里是cache.log的日志 2011/08/16 00:45:41| squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==' (decoded length: 40). 2011/08/16 00:45:41| squid_kerb_auth: WARNING: received type 1 NTLM token 2011/08/16 00:45:41| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token' access.log的 1313469925.993 […]
我们已经使用kerberos,pam和winbindd集成了一个linux瘦客户机和AD。 我们正在使用pam_mkhomedir来制作主目录,而且工作正常。 但是当AD用户在用户名中使用混合或大写时,login脚本不会运行。 AD不区分大小写,不关心用户是否使用“名称”或“名称”。 所以当用户“鲍勃”login与“鲍勃”时,他得到家里目录/家庭/鲍勃,但用户名鲍勃,在Linux不是一样的。 我什么用户名总是被转换成小写,是可能的? # Pam file # auth sufficient pam_unix.so nullok try_first_pass auth sufficient pam_krb5.so use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account required pam_access.so account sufficient pam_unix.so broken_shadow debug account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 100 quiet account [default=bad success=ok user_unknown=ignore] pam_winbind.so account required pam_permit.so password sufficient pam_unix.so […]
我已经恢复到我们的Windows 2003 SBS域控制器的备份。 所有权限的文件夹似乎设置正确的组,但在查看具有权限设置为特定用户的文件夹时,他们显示为SID即s-1-2-5-124234-23423234234-5643 。 我不知道该去哪里解决这个问题。 任何想法是什么造成的?
我最近接pipe了一个Windows Server 2003域环境中的新客户端。 唯一的问题,我看到的设置是,第二个域控制器的DNS条目可能是错误的,所以我在这里发布。 这是networking设置。 两个域控制器 域控制器是DC1和DC2 两个域控制器都是Active Directory集成的,并且也集成了他们的DNS AD。 DC1的DNS设置dns1:指向自己所以DC1,dns2:指向什么都没有,是空的? DC2 DNS设置dns1:指向具有fsmoangular色的主域控制器,因此DC1,dns2:指向自身,因此DC2 我总是将域控制器的DNS条目设置为自己的第一个DNS条目和其他域控制器的第二个条目。 如果是我这样做的客户端,我的设置看起来像这样 DC1 dns1指向DC1,dns2指向DC2 DC2 dns1指向自身,所以DC2,dns2指向DC1 我以为服务器2003解决了以前发生在Windows Server 2000环境中的域控制器的DNS岛问题?
我需要一些关于AD和OpenLDAP用户数据库集成/同步的指导。 这是我想要做的。 我们有完整的Linux数据库(Ubuntu 10.4),OpenLDAP上的用户只使用开源应用程序(POSTFIX,Fileserver,打印服务器,Apache,VPN等)。 目前所有的Windows客户端机器(大多数是7和Vista)不在一个域上。 我们希望引入Active Directory,因为它在处理用户方面有出色的function,而且还可以处理更新补丁,并且可以对使用组策略的用户有各种限制。 我一直在网上挖了几天,但没有find可以将用户信息从AD同步到openldap的东西,所以我们可以为所有应用程序提供一个用户密码。 我们希望有一个集中的用户数据库,所有应用程序都有一个密码。 我希望我能够解释正确的我正在寻找的东西。 请让我知道,如果你已经实现了类似的东西,同步AD和OpenLDAP之间的用户密码信息。 我会感激任何input。
当我刚开始研究这个问题的时候,唯一一个失败的testing就是现在没有广告作为时间服务器, Warning: LEX-DC01 is not advertising as a time server. ……………………. LEX-DC01 failed test Advertising Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have Replicating Directory Changes In Filtered Set access rights for the naming context: DC=ForestDnsZones,DC=ja,DC=com Error NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS doesn't have Replicating Directory Changes In Filtered Set access rights for the naming context: DC=DomainDnsZones,DC=ja,DC=com […]