我有两个域控制器,其中有问题的USN始终是相同的值(当前和原始),而另一个原始USN大约比当前值低6个数字。 这是什么意思? 这怎么可能影响我的应用程序? 以下是原始和现在的USN区分的屏幕截图:
我试图让Ubuntu 12.04上的Apache通过Kerberos SSO将用户身份validation到Windows 2008 Active Directory服务器。 以下是一些使我的情况不同的事情: 我没有Windows服务器的pipe理权限(我也没有权限访问)。 我也不能对我的服务器做任何修改。 我已经使用PBIS打开,将Ubuntu服务器joinActive Directory。 用户可以使用他们的AD证书login到Ubuntu服务器。 kinit也适用于每个用户。 由于我无法更改AD(除了添加新机器和SPN),我无法在Ubuntu上添加Apache的服务帐户。 由于我无法添加I服务帐户,因此我必须使用机器密钥表(/etc/krb5.keytab),或者至less在另一个密钥表中使用机器密码。 现在我正在使用机器keytab,并给予Apache只读访问(坏主意,我知道)。 我已经使用net ads keytab添加了HTTP -U 由于我使用的是Ubuntu 12.04,在“net ads keytab add”中添加的唯一编码types是arcfour-hmac,des-cbc-crc和des-cbc-md5。 当PBISjoin域时,PBIS将AES编码types添加到主机和cifs主体,但是我还没有得到“net ads keytab add”来执行此操作。 ktpass和setspn是不可能的,因为上面的#1。 我已经configuration(用于Kerberos SSO)并testing了IE 8 Firefox。 我在我的Apache站点configuration中使用以下configuration: <Location /secured> AuthType Kerberos AuthName "Kerberos Login" KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms DOMAIN.COM Krb5KeyTab /etc/krb5.keytab KrbLocalUserMapping On require valid-user </Location> […]
我们有一个Windows Server 2003系统和Active Directory,我们所有的用户都有漫游configuration文件。 其中一个用户允许某人在他自己的计算机(1)上工作时使用他的用户名和密码login另一台计算机(2)。 现在,当这个用户login到他自己的计算机(1)上时,加载的configuration文件是一个可以追溯到很多个月的configuration文件(我认为从他上次login到计算机2时)。 我的怀疑是,这个用户最后一次login这台计算机时,在login时,caching在计算机2上的configuration文件,在服务器上的新configuration文件上同步。 所以现在当他login时,他会得到这个旧的configuration文件。 现在我的问题: 是否有可能检索更新的configuration文件? 是否有可能在将来避免这种情况发生? 编辑:有一件事可能是有趣的知道:电脑1是赢8电脑2是赢7
我对Active Directory不熟悉,对防火墙的知识也非常有限。 我想了解如何“信任”工作。 说有这样的情况: 有2个独立的networking network1中的一个域到network2中的另一个域需要外部信任 network1中的域中的用户是否需要首先通过network2中的防火墙? 设置如何工作?
我有一个问题,围绕着无数的Active Directory组件,我希望能从某人那里得到一些意见或更正。 在我们的工作场所,我们曾经为每个不同的办公地点设有单独的活动目录域和站点。 每个位置还有一对域控制器负责该位置,并且该位置内的任何站点将使用该控制器来pipe理身份validation,GPO等。 最近,作为另一个项目的一部分,我们将所有的域名压缩到旧的顶级域名中。 A / D中的站点保持不变,但是每个用户帐户,计算机等都被移到顶层域名中。 每一对本地DC都被弃用,只有一个DC是顶级域名的成员。 完成之后,我们遇到了在DC之间非常慢地复制的问题。 这个问题的第二个问题是个人站点或用户似乎正在对他们感觉的任何DC进行身份validation。 在单个站点上,我发现用户通过身份validation,正在接收来自另一个站点的DNS,并将GPO从其他地方(我可能将其混合起来,但您明白了)启动。 即使所有的区议会仍然是适当的A / D“地点”的成员,这个区域似乎基本上是随机的。 为了解决这个问题,我们让所有区议会的同一个“顶级”网站的成员,使复制本质上是瞬时的。 让许多区议会永远相互复制,听起来可能有些蹊跷,但是我们只做了一个相当小的调整,所以没有任何重大问题。 我的问题是,我们在某个地方出了问题吗? 我目前正在进行SCCM安装,直到现在我才发现这是微软推荐的方式。 我主要关心的是: 1)这是否会在后来咬我们,特别是在我们正在试图build立一个稳定的SCCM安装。 2)任何人都可以解释为什么区议会被validation请求看似随意地打了一针,即使我们在他们相应的A / D站点有他们(据我所知,这应该给予他们同一站点的本地请求的优先权现场)。 谢谢!
我有6个站点遍布在地下。 所有6个站点通过一个网状的VPNnetworking连接,并可以看到对方。 现在,在总部,我有一个域上的2个AD服务器(1个备份)。 所有其他人都有自己的服务器在自己的领域。 例如: 总部 – 2008R2域 – office1.local(30个用户)分支机构1 – 2008R2域 – office2.local(10个用户)分支机构2 – 2008R2域 – 办公室3,本地(10个用户)等等 每个分支中的每台服务器都拥有大量的文件存储,员工希望能够快速访问,因此服务器必须位于本地的每个分支中。 由于我即将更换所有分支机构(服务器和台式机)中的所有硬件,我有能力改变事情,希望能使它变得更好。 题。 在域设置方面什么是最好的scheme? 我应该让他们所有单独的域名? 我应该把分支机构的服务器作为辅助主服务器吗? 我应该把所有的个人电脑在总公司的领域,并从那里复制? 这种域名networking的最佳做法是什么? 期待您的亲切协助。
我们在一个域的计算机上安装了RDS(所有angular色),DomainA。 我们决定将机器移到另一个森林DomainB的域中。 我们的pipe理员只是将机器join新的域名,但是现在看来RDS指向了旧机器名称,即machine.DomainA。 我们可以删除许可证并重新添加,但似乎有信息存储在某处,告诉机器旧机器与“部署”相关联。 这个信息似乎并不存储在AD中,因为在我们将机器join新域并重新启动之后,它仍然认为MachineA.DomainA是RDS部署的一部分。 现在的问题是,如何将运行RDS的机器移动到新的域中,或者不可能这样做?
我们目前处理帐户名称更改的方式非常繁琐,并且想知道是否有更简单的方法去处理事情。 名称更改请求通过,我们创build一个新的AD帐户,镜像旧的,然后每周一次我们链接旧邮箱到新帐户,复制其旧的个人networking驱动器(漫游configuration文件),创build新的帐户在特定飙升他们有权访问(一些Ldap,一些不)禁用旧帐户,启用新的,等待用户打电话说他们不能进入。 这个过程留下了很大的空间出错或跳过的步骤。 是否有任何缺点,只是彻底改变原来的对象,而不是创build一个全新的帐户给定的名称,显示名称? 贵公司是如何处理名称变更的? 谢谢。
我们有一个GPO,说明如果一个不成功的用户login超过3次来locking账户30分钟我们有一个用户不断locking,没有服务,在她的账户下运行的计划任务。 审计日志 An account failed to log on. Subject: Security ID: NULL SID Account Name: – Account Domain: – Logon ID: 0x0 Logon Type: 3 Account For Which Logon Failed: Security ID: NULL SID Account Name: [email protected] Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d Sub Status: 0xc000006a Process […]
这可能听起来像一个愚蠢的和不安全的问题,但我们是前端网页delopers,并不知道这些事情太多。 所以这里.. 我们正在创build一个Web应用程序,我们要使用Active Directory中的凭据login。 虽然只读访问权限,但我们只需要使用AD凭据login,并获得指示是否成功的callback。 我知道AD中的密码是encryption的,所以我们不能在我们的数据库中有一个用户名和密码的副本,每天同步一次。 所以,我们已经得出结论,像这样的解决scheme应该在客户的networking内部。 那么,为了能够访问Active Directory和互联网,它需要在DMZ区域内? 或者,也许这一切听起来很愚蠢? 因为我们只是从AD中提取用户名和密码,所以我们不需要任何东西。 所以最终用户得到的额外收益也许是他/她不必记住一个额外的密码? 这可能不值得吗? 编辑:将使用此的所有用户已存在Active Directory中。 所以它基本上是销售部门在从客户到下一个客户时使用的工具。 随意downvote这个问题,如果它听起来非常愚蠢:)