我试图在Windows Server 2003上用Ktpass创build一个keytab: Ktpass -princ host/[email protected] -mapuser host -pass password -crypto rc4-hmac -out UNIXhost.keytab 我得到以下错误: crypto: enum value 'rc4-hmac' is not known. Error: argument for option "crypto" must be one of the following values: DES-CBC-CRC : for compatibility DES-CBC-MD5 : default Command line options: ———————most useful args [- /] out : Keytab to produce [- […]
我已经购买了一个域名example.com。 根据我读过的所有内容,我的Active Directory服务器不应该被命名为相同的。 因此,我的服务器现在是: DC-1.example.com [Active Directory] Web-1.exmaple.com [Web] Mail-1.example.com [Mail] 如果我理解正确,example.com应该实际parsing为Web-1.example.edu 所以example.com的DNS: A – [IP of Web-1.example.com] MX – [IP of Mail-1.example.com] SRV – [IP of DC-1.example.com] 任何人都可以validation这是做到这一点的正确方法? 我只是想确保configuration是正确的。 REF: Windows Active Directory命名最佳实践? http://support.microsoft.com/kb/300684/en-us
我是一名软件开发人员。 我的团队encryption了ASP.NET web.config文件的敏感部分。 aspnet_regiis.exe用于pipe理本地密钥库,encryption和解密。 我想build立一个快速的关键pipe理器工具,以避免记住它的位置和语法,基于我发现使用知名search引擎的Powershell脚本 。 这被域策略阻止: PS H:\> Get-ExecutionPolicy Restricted 在我请求之前,这被改为RemoteSigned … 如果Intranet上的所有计算机都设置为RemoteSigned ,那么是否可以在域CS中为假设的代码安全组创build一个证书,以便证书不能用于SSL或其他证书保护的进程? 这将允许低级开发人员编写脚本并让他们签名,而不会给每个代码审查人员过度的信任。
域控制器 – Windows Server 2008 R2 Standard 客户端操作系统 – Window Server 2003(terminal服务器) 我无法ping通我的Active Directory域名,即corp.abc.com。 (请参阅打印屏幕) 我成功地能够nslookup&ping我的DC服务器IP地址(请参阅打印屏幕) 我也附加IPconfiguration的打印屏幕。 你能告诉我为什么我无法ping通,但成function够通过nslookup命令解决,也能ping通DC服务器的IP地址
我有一个Windows Server 2012域控制器(唯一的DC和域中的第一台计算机)都是新build的,都是最新的。 我正在尝试创build一个需要首先使用KDS根密钥的组托pipe服务帐户(gmsa)。 我使用以pipe理员身份运行启动Windows Powershell的Active Directory模块,并发出以下命令: Add-KDSRootKey -EffectiveTime ((get-date).addhours(-11)) 我收到一个错误“请求不支持”。 如果我立即将其更改为“有效”,则会得到相同的错误。 KDS cmdlet已安装 我可以使用它们列出键(空)和查看configuration – 我似乎无法添加KDS根密钥。 我已经挣扎了两天了 – 有什么build议吗?
我们有一个使用spring-security kerberos的tomcat服务器根据活动目录对网页进行身份validation。 有大约25个域控制器。 该网站有两个基于CNAME的DNS别名。 该网站目前有一个服务ID,其中包含为DNS Alogging注册的SPN以及每个CNAME。 虽然现在一切正在进行,但我不知道如何在没有可能的停机时间的情况下可靠地更改此configuration。 原因是客户cachingkerberos票据: http://www.juniper.net/techpubs/en_US/uac4.2/topics/concept/user-role-active-directory-about.html 'kerbtray.exe'程序有助于在端点上查看和删除Kerberos票据。 如果更新了SPN或更改了密码,则必须从端点清除旧故障单(假设端点仍然具有从先前的SPNEGO请求到MAG系列设备的故障单的caching副本。在testing期间,您应该在每次authentication请求之前清除故障单。 用于检查/删除高速caching票证的“klist”程序的说明: http : //technet.microsoft.com/en-us/library/hh134826.aspx 因此,如果每个连接到我的Web服务器的客户端(运行Windows的用户)在更新SPN或密码后立即生成kerberos票证,那么我如何确保更改是无缝的? 有没有可以安全地完成的操作? 我不能要求所有用户安装klist并删除他们的旧票。
我正在尝试将cetain OU的权限委派给某个组。 我发现的是“Descendatn用户对象”,而不仅仅是“用户对象”; 我们有在其他领域可用的; 请让我知道有什么区别,它是如何影响?
我们有一个旧的FoxPro 2.6应用程序,无法打印到联网的打印机。 不知道域名等,并使用它自己的内置驱动程序,而不是Windows驱动程序,并且只能打印到lpt端口。 我们正常的设置允许networking用户进行打印,即将打印机连接到一台计算机,共享该打印机,然后使用另一台计算机的networking使用命令连接到共享打印机并将其redirect到lpt1。 工作很好,没有问题,除了打印机所连接的计算机必须始终打开。 我们希望摆脱这种情况,并将打印机设置在Active Directory服务器上,与其他所有打印机共享,然后使用net use命令redirect到lpt1,以便我们的过时应用程序可以打印到它。 build立: 域名swtechinc,AD服务器为swkcdc01。 IP地址192.168.1.10 域用户具有标准的用户权限 LaserJet 5n打印机,与IP 192.168.1.207联网 打印机将作为LJShip在AD服务器上进行设置和共享 如果我net use lpt1: \\swkcdc01\LJShip作为域pipe理员,那么必须inputADpipe理员的用户名和密码,然后才能成功完成。 进入用户帐户,并使用networking,映射消失。 从用户帐户执行相同的命令,并再次请求用户名和密码。 但是,它不会完成,说系统错误5,访问被拒绝。 我已经尝试将他的AD用户帐户添加到AD服务器上的打印机的安全选项卡上,仍然得到相同的结果。 我希望这里有人能帮助我,因为我不知所措。
我需要encryption2008 R2服务器上的3.5TB文件夹。 该文件夹是共享的,用户和应用程序都需要通过networking访问文件(pdf)。 由于服务器是VM(ESXi 5)Bitlocker不受支持。 EFS与AD CS托pipe密钥应该工作。 我正在寻找一个很好的实施指南和实际的用户/pipe理经验的forms,如果有人真的使用它。 (Xeon R7-4850)如果有一个更好的解决scheme来encryptionnetworking共享请让我知道。
我有两个Microsoft活动目录,让我们称之为外部和内部, 我想要做的是: 添加用户到内部AD没有密码(只需保存一些其他属性)。 当用户尝试login时,将根据外部AD检查密码。 这仅适用于域用户而不适用于pipe理员。 两个Active Directory都在Windows服务器上。 我不知道什么是外部服务器的特定版本。 但我知道这是一个Windows服务器。 我能够在Linux上使用openldap进行身份validation。 “通过提供用户名和密码”。 这意味着可以对用户进行身份validation。 请注意,我不是试图窃取密码或任何东西。 我只是想要我的内部AD发送用户名和密码到外部广告和外部将回应,如果他们匹配或不。 我公司有多个服务使用员工的外部密码(如Exchange邮件)。 我想让他们在任何地方都使用相同的用户名和密码。 这是我有的权限: 我在外部AD上没有任何“pipe理员”权限。 只是一个普通的用户权限。 我对内部AD有充分的许可。 我完全控制将尝试在内部AD中login的计算机和用户。 有人build议我使用跨域Kerberos信任,并指导我写这个问题的正确位置。 我查了一下跨域Kerberos的信任,但是我发现我需要在两个AD上input信任的密码。 由于我没有外部AD的pipe理员权限,所以我不能这样做。 你的帮助非常感谢。 提前致谢