目前,我正在与ADFS一起在两个分离的域之间build立联合信任。 我的问题很简单: ADFS v。2.0是否支持跨联合身份提供者的传递式信任? 如果是这样,请参阅下面的问题。 (我不是在谈论AD森林信任,而是在联盟情况下使用纯ADFS 2.0的完全分离的域) 我知道ADFS v 1.0并不像第9页上的文档中所述的那样。但是,从ADFS 2.0的索赔规则来看,它似乎是可能的, 正如微软合作伙伴所证实的那样。 但是:关于这个主题的文档是一团糟! 根本没有关于这个话题的ADFS v.2.0相关的声明,我能够find( 如果你有任何关于这个问题的文档,请帮我一把! )。 为了更清楚,我们假设这种情况: Federation provider (A) trust federation provider (B) which trusts identity provider (C). So, does (A) trust identities comming from (C) across (B)? 在支持传递信任的情况下, 是否有可能以任何方式限制ADFS中的传递信任? 如果是这样,怎么样? (Powershell命令或ADFS GUI菜单条目在哪里可以find它) 可传递的信任如何影响索赔的发行人和原始伊索尔特性? 如果传递性信任和声明转换一起使用,提供者(B)会将(C)中的所有声明转换成相同types的(新)声明价值,那么这将如何影响发行人和原始伊索尔特性? 重要说明:无论是否支持,我都需要一些官方消息来源。 但是,如果没有其他人能够提供他们,而且有人能够以他的经验来回答这些问题,那么即使没有官方消息来源,我也愿意为他们提供赏金。
我们的configuration目前是: 1 Windows 2000域控制器运行ISA2000,dhcp,dns 1 Windows 2003域控制器作为主要文件服务器,prob证书服务器以及dhcp,dns 1 Windows 2008 / Exchange2010域控制器作为Exchange服务器,DHCP,DNS 目前在文件服务器上收到FRS错误journalwrap错误目前在其他DC上收到FRS错误无法从上面复制 Exchange DC支持Schema,rid,pdc和基础架构angular色文件服务器具有域命名操作主angular色 WOW,我没有设置这个,只是inheritance了它。 我是否正确地认为解决FRS错误是#1,我需要做些什么? 设置启用journalwrap在registry中自动恢复? 降级W2000域控制器,应该对ISA有任何影响吗? 我们有Forefront被部署,但那是另一天 将域命名angular色转移到Exchange服务器(我知道或认为将Exchange服务器设置为DC并不是最佳实践)我们将获得另一台服务器W2008来replace当前文件服务器,并且我认为它可以在部署完成后接pipe所有angular色 降级W2k3文件服务器,然后将function域级别提高到2008年 我是否错过了其他的感觉走开? 谢谢
我为我的域中的用户configuration文件设置了文件夹redirect。 当我login到用户configuration文件数据所在的服务器时,我注意到一些奇怪的现象。 我所有的redirect文件夹在这个系统上是只读的。 例如,Firefox有这个INI文件: \\windows.oliver.de\UserData\Profiles\OliverSalzburg\AppData\Roaming\Mozilla\Firefox\profiles.ini \\windows.oliver.de\UserData将是包含一个条目的DFS名称空间,这些条目指向我的服务器storage.windows.oliver.de上的共享卷。 当login到域中的任何系统时,我将能够写入.ini文件就好了。 login到storage.windows.oliver.de ,我将无法写入它。 当我尝试启动FirefoxPortable时,也会显示这一点:
http://technet.microsoft.com/en-us/library/cc738653(v=ws.10).aspx 引用上面的页面:我的目标是让域中的所有计算机都允许从我添加的对象进行身份validation。 换句话说:•点击添加。 在input要select的对象名称中,键入要为其授予对此资源计算机的访问权限的用户对象或组对象的名称,然后单击确定。 选中Allowed to Authenticate权限旁边的Allowcheckbox,然后单击OK。 我希望能够一次添加到多台机器(全部在OU中,甚至在全局中),并且“允许validation”是组对象的唯一权限。 我一直无法find答案,或者甚至可能。 谢谢!
我将我的本地AD域移到AWS,我不确定最好的方法。 场景 :我有2个本地域(.local和.net)。 我正在退休其中的一个,转移到另一个。 两者都被认为是生产,因为它们都被积极使用。 在我开始将所有内容从一个移动到另一个之前,我希望将AD扩展到AWS。 另外,我们最终还是想走出数据中心。 选项1 :启动2个EC2实例并将其configuration为DC。 这似乎是最简单的select,但最昂贵的(2 m4.xlarge机器$ 0.99 /小时)。 选项2 :使用AWS Directory Service(看起来很新)。 这个问题是他们不允许你扩展当前的域名。 他们只允许你创build一个全新的域名。 它的优点是便宜(我相信0.40美元/小时),并为您configuration一切。 我想如果我这样做,我需要build立一个信任与我目前的领域。 有没有人有与AWS目录服务的经验? 我似乎无法find互联网上比较这两个选项的任何东西。 如果任何人有比上面列出的2更好的select,我也很想听到。 参考链接: 将本地域扩展到AWS: http : //docs.aws.amazon.com/quickstart/latest/active-directory-ds/scenario-2.html AWS Directory Service: http : //docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html 谢谢您的帮助!
您通常可以知道AD帐户何时被locking,因为它会告诉您旁边的checkbox以解锁所述帐户。 虽然,我想知道是否有任何理由我会检查这个盒子,当帐户没有locking? 如果是这样,那么“解锁”这个帐户是做什么的?
对DC上的高级LSASS进程进行故障诊断发现,源于几个工作站的查询很昂贵。 每个查询如下: Visited Entries: 1Million+ Returned Entries: <50 (most of the times 0) 比较这些工作站上安装的应用程序; 没有什么尖叫高ldap查询。 我的问题: 如何在工作站上停止这些查询? 如何find这些工作站的罪魁祸首的应用程序(是在Windows 7的现场工程?) 所有这些都发生在单个DC上,可能是硬编码的; 这些查询如何在DC上被阻塞? 如果有任何build议或问题,请让我知道。
我有一个RO域控制器,与另一个站点上的可写DC复制。 另外一周,由于在该地点进行维护,可写入的DC出了大约2天。 在此之后,RODC不再复制可写DC。 我得到的错误是1722,RPC服务器不可用。 我确认RPC服务在两个DC上运行。 我怀疑问题是由DNS引起的 – DNS事件日志包含以下内容: DNS服务器遇到来自Active Directory的严重错误。 检查Active Directory是否正常工作。 扩展的错误debugging信息(可能为空)是“000006BA:SvcErr:DSID-03210BEB,问题5012(DIR_ERROR),数据0”。 事件数据包含错误。 我也收到以下错误: 知识一致性检查器(KCC)无法形成完整的生成树networking拓扑。 因此,以下列表的站点无法从本地站点到达。 以下站点中的所有目录服务器都可以通过此传输复制目录分区,目前不可用。 没有足够的站点连接信息为KCC创build生成树复制拓扑。 或者,具有此目录分区的一个或多个目录服务器无法复制目录分区信息。 这可能是由于无法访问的目录服务器。 知识一致性检查器find本地只读目录服务的复制连接,但源服务器不响应或不复制。 目前的复制合作伙伴没有find一个新的合适的源服务器。 这个操作将被重试。 所以也许当可写DC被重新启动时,某种设置或configuration已经丢失 – 导致RODC无法复制。 DC可以很好地ping通对方。 任何帮助将非常感激! 谢谢!
我们目前在corp.domain.com有1个域名(没有子女)。 我们有一个备用的UPN,以便用户可以将他们的UPN作为[email protected] (no corp )。 我们之前的许多用户都拥有旧式的[email protected] UPN。 对于所有这些用户改变UPN从UPN中删除corp的影响,我找不到任何好的答案。 我知道,因为用户的SID没有变化,域名仍然是一样的,证券仍然是一样的,但是我不知道还有什么其他的惊喜可以等着我。
terminal服务器之一一直困扰着一个不寻常的HTTPS问题。 足够的用户login和注销后,最终用户将无法再加载HTTPS网站。 它似乎只影响通用强制共享configuration文件的用户。 回归 使用什么浏览器并不重要 有些团队(pipe理员,教师)从来没有遇到过这个问题 如果我注销并删除他们的configuration文件(man通用共享configuration文件)的本地存储,他们可以login并查看HTTPS网站。 我试过打开和closures防火墙 我试过重新注册DLL的 我试过多个浏览器 是否有比每天晚上批量删除configuration文件更好的解决scheme?