尝试将另一个(第二个)域控制器添加到现有的域。 在“Active Directory域服务configuration向导”的第二步中得到以下错误: 从目标环境获取网站列表时出错:指定了无效的dn语法。 由于上述错误,“网站名称”下拉列表为空。 这是截图 。 PS:主要的域控制器(当前的)和我试图添加的那个都在Windows Server 2012上运行.AC和域控制的操作级别也是Windows Server 2012。 哪里不对?
我们有一些用户login时间很慢,最多20分钟,但只有less数用户。 我已经缩小到一个特定的GPO,除了“驱动器映射首选项”外什么也不做。 我尝试禁用GPO的“用户configuration”部分来执行驱动器映射,以查看是否会加速此问题,但即使只启用“计算机configuration”部分也会导致速度下降。 GPO应用于根OU,最终将其计算机和用户帐户作为inheritance进行应用。 这是GPO的计算机configuration部分: Policy Setting Comment Configure Drive Maps preference extension policy processing Enabled Allow processing across a slow network connection Enabled Process even if the Group Policy objects have not changed Enabled Background priority Idle 如果我在此GPO中同时禁用计算机和用户configuration,则这些用户的login时间将缩短到5-10秒。 我已经查找了这些做什么,但我想知道他们是否做某种回环处理或什么? 我不明白为什么login时间仍然是缓慢的,如果整个用户configuration被禁用。 上述“计算机configuration”部分究竟发生了什么情况,即使用户端被禁用,实际上会执行所有的驱动器映射首选项,也会导致策略挂起,并且login可以在那里停留10-20分钟?
我公司的所有用户都使用内置指纹识别器的笔记本电脑。笔者在笔记本电脑上使用这种笔记本电脑,但指纹仅存储在本地。 有没有一种方法,使其广域使用广告,而不去每台笔记本电脑和注册我的指纹? 提前致谢
我有一个PowerShell脚本,应该通过一个特定的ou并将组存储到一个variables$组。 这里是我在脚本中使用的代码: $Groups = Get-ADGroup -Properties * -Filter * -SearchBase "OU=GFS-USERS,OU=AFS-OU-Groups,OU=AFS,OU=FA,OU=DEPARTMENTS,DC=ou,DC=ad3,DC=blabla,DC=com" -Server "ou.ad3.blabla.com" Foreach($G In $Groups) { Write-Host $G.Name Write-Host "————-" $G.Members } 这一步似乎工作正常。 在我的脚本的下一部分,我已经通过每个组,并尝试将来自每个组的用户添加到一个组中,他们应该被合并。 代码如下: foreach ($group in $groups) { Add-ADGroupMember -Identity "CN=test,OU=AFS-OU-ACLs-EDMS,OU=AFS-OU-Groups,OU=AFS,OU=FA,OU=DEPARTMENTS,DC=ou,DC=ad3,DC=blabla,DC=com" -Members (Get-ADGroupMember $group) -Server "ou.ad3.blabla.com" } 当我运行这个脚本时,它对所有来自以下用户 OU=AFS,OU=FA,OU=DEPARTMENTS,DC=ou,DC=ad3,DC=blabla,DC=com 但对于所有其他用户,我收到以下错误: Add-ADGroupMember : The server is unwilling to process the request At line:1 […]
我的问题是有点棘手解释:) 我们有在Windows Server 2012上运行的ASP.NET网站。有些网站使用SqlServer身份validation,有些使用Windows身份validation,有些则根本没有任何forms的身份validation(或静态HTML页面)等。 我们不希望我们的网站公开(可通过Google索引,可供任何知道URL的人使用),但我们也不想使用VPN。 当用户来到www.ourdomain.com时,他应该得到一个login提示,他需要input他的AD(Active Directory)用户名/密码,如果validation成功,他可以进入我们的网站。 我们不想在IIS /应用程序级别设置身份validation,它应该在服务器级别(防火墙,代理?)。 我们在以前的公司有过这样的设置,但我不知道他们使用了哪种技术。 它与IIS无关,公司外部的用户被提示使用他们的AD帐户login。 任何帮助将不胜感激!
我拥有在Windows 2012 R2服务器上运行的本地Exchange 2013(最小安装和所有angular色都在一台服务器上)(Windows和Exchange均已修补且最新)。 基本上这个系统可以作为我们的办公室里面的混合物和办公室的SMTP。 这个服务器是一个虚拟机。 我们的AD是在2008 R2级别,我们有几个DC(全部是GC)。 我试图从networking中删除DC,但是当我closuresDC时,我的Exchange服务器出现问题。 当我从DC上卸下GC并closuresDC服务器时,我重新启动了Exchange 2013 VM,但无法使用RDP。 幸运的是它是一个虚拟机,我可以使用虚拟机工具login到它。 当DC断电时,我查看Exchange服务器上的networking,发现Windows中没有可用的networking(位置感知问题可能?)。 如果我将DC备份电源再次置于GC,Exchange服务器工作正常(networking上还有其他GC,并且在AD中与此站点关联)。 我认为Exchange 2013应该检测到DC是脱机的,它应该select另一个GC,但不是。 所以我试图排除我想在Exchange中closures的DC(通过使用带有StaticExcludedDomainControllers参数的Set-ExchangeServer cmdlet),并且完全破坏了服务器。 一旦我这样做,并试图重新启动Exchange服务器(无论DC / GC是否运行),我无法再让Exchange工作。 现在,在Windows 2012 R2服务器端的networking连接上没有任何可用(我想这就是Exchange服务失败的原因)。 但是,我可以ping服务器,我可以从服务器浏览networking文件共享和其他networking的东西,所有从Windows 2012 R2服务器,我只是不能到服务器的RDP,我不能让Windows识别networking从服务器。 而现在因为没有networking连接,我甚至无法打开Exchange命令行pipe理程序来撤销我所做的事情(因为EMS无法在没有networking连接的情况下使WinRM工作),因此EMS无法与Exchange服务器进行通信,因此它失败。 当EMS工作时,Get-ExchangeServer cmdlet也将DC显示为始发服务器。 我现在正在执行从昨晚的备份恢复,希望工程。 我不明白为什么closuresDC / GC会导致Windows 2012 R2丢失networking连接和/或导致Exchange 2013无法正常工作? 为什么Set-ExchangeServer会导致同样的问题? 是否有任何已知的原因发生? 从Exchange 2013环境中删除DC / GC的正确方法是什么? 谢谢
我有一个2个森林的环境,F1和F2之间有一个完整的,传递的,双向的信任。 F1拥有一个拥有SSRS服务器的域。 F2分别具有2个域,F2parent和F2child,父域和子域。 在SSRS服务器上,我需要访问F2parent中的一个安全组,它拥有F2child中的用户。 作为通用组,这不起作用,因为它是一个本地域组。 我的理解是,它应该作为一个通用集团来运作。 为什么不呢?
我正在尝试使用PHP通过LDAP编辑Active Directory中的用户。 我的testing机器使用一个简单的WAMP设置,并没有连接到Windows域。 这台机器可以连接到域控制器上的LDAP就好,没有encryption。 经过反复尝试,我无法通过SSL进行连接,但是我能够使用TLS(ldap_start_tls)来更改用户密码,这是终极目标。 在testing框上没有问题。 实际的networking服务器虽然是域的成员,它拒绝工作。 与TLS的连接失败,并且域控制器报告schannel致命警报48,这意味着在cert链中存在不受信任的根CA. 我已经在Web服务器上安装了证书,并在Web服务器和DC上都安装了根CA证书,但无济于事。 我不确定该从哪里出发。 我究竟做错了什么? 为什么通过TLS的LDAP可以在域外的计算机上正常工作,但不在域的一部分上? 最近我一直在比较所有3台机器上的证书和链。 我发现的唯一区别是工作(非域)Web服务器和DC上的链是三个步骤:COMODO – > COMODO RSA域validation安全服务器CA – >我的证书域上的Web服务器是除了一切都向下移动一层,顶层证书说“USER信任” 这种差异是否导致了这个问题? 在非工作的Web服务器上validation原始证书文件上的命令:颁发者: CN=COMODO RSA Domain Validation Secure Server CA O=COMODO CA Limited L=Salford S=Greater Manchester C=GB Subject: CN=cjtrainor.com OU=COMODO SSL Unified Communications OU=Domain Control Validated Cert Serial Number: bd4d0f693ab0104ac9f1b45003d6138d dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = […]
我需要使用AD来授权一些在线工具,以便在一个大的国际公司的三个国家中简化软件开发。 工具AD / LDAP部分有一行指定BASE DN,另一行用于应用用户filter。 默认的用户filter是:(&(objectCategory = Person)(sAMAccountName = *)) 我需要到达的人员位于以下广告位置: MyCompany.com/AAA/EMA/RS/Aarhus/Accounts MyCompany.com/BBB/AMR/RS/Atlanta/Accounts MyCompany.com/CCC/AP/COR/Xian/Accounts 每个帐户条目包含4-5个更深的层次,我需要所有这些人。 如果我只将BASE DN设置为DC = MyCompany,DC = com (这是我相信它应该是的),我有超过250000用户返回,其中只有大约2000应该有访问权限。 :-(我的工具caching条目,并且需要很长时间才能同步。:-( 我想使用更具体的filter更具体的目标的位置。 我试过各种各样的东西,search高低,也问工具开发人员和我们的IT部门有关如何做到这一点,但没有发现任何远程可用。 我相信filter应该是沿着以下几点 – 除了我现在知道memberOf检查一个组的成员身份,而不是AD中的层次结构位置 (&(objectCategory=Person)(sAMAccountName=*) (| (memberOf:=OU=Accounts,OU=Aarhus,OU=RS,OU=EMA,OU=AAA,DC=MyCompany,DC=com) (memberOf:=OU=Accounts,OU=Atlanta,OU=RS,OU=AMR,OU=BBB,DC=MyCompany,DC=com) (memberOf:=OU=Accounts,OU=Xian,OU=COR,OU=AP,OU=CCC,DC=MyCompany,DC=com) ) ) 只是为了澄清,我不可能创build(并保持更新)一组应该有权访问的所有人员和子位置。 我急切地等待着你的build议 注意:这是我第一次接触到AD / LDAP,所以我可能忽略了这个解释中的一些东西 – 请尽量填空。 谢谢。
我没有这方面的经验,所以可能有一些我失踪的观点。 最初我试图设置Cyrus Mail w / SASL进行AD身份validation。 经过多次尝试,失败了。 我转向了Dovecot,在Dovecot也没有authentication。 所以,我开始排除故障: 我在AD中创build了一个用户名为“vmail”。 运行`ldapsearch -x -h ad.example.com -D'vmail'-W -b'dc = example,dc = com'“([email protected])”并input密码。 结果是成功的(返回了ldap用户属性) 然后我运行ldapwhoami -x -W -D cn=vmail,dc=example,dc=com -h ad.example.com并input密码。 但是,此脚本失败 ldap_bind: Invalid credentials (49) additional info: 80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db1 Dovecot和Postfix在参数上都失败了。 在Dovecot和Postfix我设置密码属性为userPassword=password 。 ADauthentication工作(例如,我可以使用[email protected]到连接到域的Windows计算机)。 “vmail”用户是域pipe理员和pipe理员(我想确保pipe理员与绑定无关)。 我真的开始认为这个问题在Windows Server中不允许用Linux机器进行身份validation(这是一种可能性),因为Linux中的所有内容都是正确的(至less看起来是这样) 如果有问题,我正在使用CentOS 7.1.1503(Core)。 编辑:更多的疑难解答后,我发现,如果我不指定域控制器,ldapwhoami成功,并返回用户: ldamwhoami […]