AD单向信任是否需要pipe理员对这两个域的权限? 假设我是域A的域pipe理员,并且我想让域B的用户访问他们可以通过VPN访问的域A上的东西。 从我所了解的可以通过build立一个信任可以做到,但它需要在两个域名的pipe理?
我在这里有一台CentOS 6机器,并且希望为来自另一个森林的用户提供SSH访问,这是值得信赖的。 我得到了一个临时解决方法,即: 1)将/etc/pam.d/vncserver中的内容更改为 auth include password-auth 2)添加这两行/etc/pam.d/password-auth auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET 所以看起来这样: %PAM-1.0 This file is auto-generated. User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth […]
我们在混合XP SP2和Windows 7工作站的小型局域网中运行Windows Server 2012域控制器。 据用户说,前几天一切正常。 现在他们无法访问共享文件夹或networking驱动器。 我们也不能将新机器join到域中。 错误消息是关于networkingpath未find。 相关信息: DNS服务器启动并运行正常。 计算机名称已正确parsing(使用nslookup从工作站进行testing) Ping响应在机器之间是可以的 我们在服务器上安装了Kaspersky Endpoint security 10,但是完全卸载了该产品,以便解除一些阻塞(卸载防病毒软件后出现同样的问题) 打开所需的端口并进行监听(使用netstat -abn进行testing) 每个共享文件夹的权限都可以(我们在最近几天没有做过任何更改)。 一些文件夹已经被configuration为每个人都有完整的访问权限,但是既不能通过名字也不能通过IP访问。 文件夹和打印共享被激活。 networking发现也被启用。 我们通过停止服务来禁用Windows防火墙(相同的结果) 这很奇怪:我们用telnet(445,139)testing了端口,结果混杂。 从一些工作站来看,端口似乎是closures的,但是从其他工作站来看,有一个响应。 活动目录工作所需的所有服务都已启动并正在运行(已检查Microsoft文档) 当服务器启动时,自动select的configuration文件是“公共networking”,所以我们重新启动NLA服务,以获得“域networking”configuration文件(testing后相同的结果) 您的build议将受到欢迎。
我有一个2000年成员服务器在一个2003年2003年FFL / DFL域。 我希望能站出来一个新的2012R2 DC,转移fsmoangular色并降级2003DC。 如果我在2003年保留FFL / DFL,那么一旦我只有2012年的DC,2000年的成员服务器还能够authentication吗?
我在我的外围networking上运行Server 2012 R2 Core上有一个AD RODC。 我正在使用这个外部/托pipe的应用程序,可以做基于LDAPS的身份validation。 我的问题是服务器的FQDN是一个内部的名字(rodc-01.company.local)。 我在外部DNS和外部DNS中有一个友好名称的logging(auth.company.com)。 我已经validation通过端口389的正常的非SSL LDAPstream量对于内部和外部应用都可以正常工作。 理想情况下,我只想使用LDAPS,但根据微软的说法,服务器的FQDN需要使用公用名称或证书的SAN。 鉴于我需要与外部应用程序一起使用,我需要一个可信的第三方证书。 我通过GoDaddy获得了一个auth.company.com。 RODC拒绝识别证书(CAPI2日志提供主机名称不匹配错误)。 受信任的第三方证书提供商不会为.local域颁发证书。 有没有解决的办法? 我可以从我的内部CA基础架构颁发证书,但外部应用程序拒绝连接,因为他们不信任证书,并不是所有的应用程序都使我能够提供他们信任的证书。 有没有人有知识,或有经验使这项工作? 微软通过把这个要求放在LDAPS上,让我们真正的感受到了。
在Active Directory中,我有一个域(dc=ABC,dc=DEF) 。 我期望域名是ABC.DEF 但是,如果我使用该命令 nltest /dsgetdc:ABC 有时我得到ERROR_NO_SUCH_DOMAIN (预期的答案),有时我得到返回的域作为ABC,有时我得到的返回域为ABC.DEF 您是否可以请AD专家指出如何针对部分合格域名的请求作出回应。 我问的原因是,有时SQL Server会报告ABC \ SomeUserlogin失败,有时它可以正常工作。 我希望它总是会失败,用户必须是ABC.DEC \ SomeUser或[email protected] 这里有什么见解吗?
不知何故,我的Active Directory从模式中“丢失”了(至less)2个对象。 msExchRecipientDisplayType和msExchRecipientTypeDetails是我需要重新创build的。 我相信他们已经失去了,因为我现有的使用量有这些属性。 但是现在,当创build新用户时,我从我的模式中得到了关于上述2错误的错误。 该特定的目录没有以前的备份(新安装),但我宁愿避免重新安装。 我现在看到的可能解决scheme是: find某人从他们的AD中提取这些值(他们不是秘密),并找出如何将它们应用到我的广告中。 (重新)从上面的链接中构build一个带有数据的ldif ,然后用some_tool手动应用它们。 (重新)运行安装例程的一部分重新应用Exchange / Openchange的架构扩展。 来自某人的另一个解决scheme/build议/指针@Serverfault 环境是一个混合的操作系统域。 为了应用此修复程序,我安装了安装了RSAT和Powershell的Windows Professional,以及使用samba4.2和相关工具的Debian Linux Jessie Machines。 Exchange架构扩展需要安装在其中一个DC上的SOGo/Openchange 。 我猜,上面是一个通用的问题:“如何在给定定义(文件)的情况下应用任何附加架构对象”或“如何在当前Openchange的正确版本中重新应用Exchange架构扩展(部分)”。 请评论,如果你需要更多的信息。
我们正在从一个大公司中剥离。 为了让我们的业务部门在销售后尽快正常运行,我设置了Office 365,并为我们所有的员工创build了账户。 我们目前仍在使用前母公司的Active Directory,但是正在build立我们自己的Active Directory。 我的计划是将计算机,用户和组(使用ADMT)从前父AD迁移到新创build的AD,这样我就可以继续保留SID历史logging,以便继续访问到达新AD的资源。 问题:由于我的新域中的帐户和Office 365租户中的帐户匹配, 如何让DirSync开始在On-Prem AD和Azure AD之间同步密码更改? 注意:我打算设置我的On-Prem AD的UPN以匹配Azure AD UPN。 BTW:我们的AD将运行Windows Server 2012 R2。 如果任何人有关于我们是否有DirSync或Windows Essentials来处理集成和同步的信息,将非常感激。 谢谢,杰森
1个AD域。 全部3个域控制器,全部在2008 R2上 主要DC(与FSMOangular色)正在被移动到一个新的办公室,它将离线最多3天。 这个DC也服务于DNS,但其他DC也有这个angular色。 我计划将FSMOangular色迁移到辅助服务器上,然后只需简单地将其启动,然后在新的站点上启动。 目前没有计划采取任何其他步骤来准备这个服务器移动。 一旦新的办公室准备好了,并且DC启动了,我打算允许其他控制器同步,然后重新将FSMOangular色应用到它。 我的问题是 – 我的方法可以吗? 我需要采取其他措施来计划吗?
您好,我正在尝试设置SSSDauthentication到AD上的RHEL。 我能够用我的AD用户和密码login,并看到我的团队,当我运行id 。 但是,当我尝试使用sudo,它只是不断提示我的密码( Sorry, please try again )。 任何想法为什么? 我知道这不是sudoers文件,因为当我运行sudo -U myUser -l我see (root) ALL但是我可以su到root没有问题,我不会提示input密码。 我的假设是它与PAM有关。 pam.d /系统AUTH-AC auth required pam_env.so auth sufficient pam_localuser.so auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account […]