我正在使用联合身份进行Office-365单一login。 我已将密码更改端点添加到我的ADFS 3.0服务器,并成功打开了adfs更新密码页面。 但是,每当我尝试更新密码,我得到上述错误。 我确定了以下内容: 1 – 我的密码太复杂了,包含大写字母,小数字和非字母数字字符 2我等了1个小时,因为我发现在ADSI编辑器中密码的最小年龄是1小时 我打开了组策略pipe理 – >展开我的域名 – >域控制器 – >默认域控制器策略 – >右键单击编辑 – >导航到密码策略。 我发现所有策略设置都设置为“未定义”。 我打开了我的ADFS服务器并打开了本地组策略编辑器 – >导航到密码策略,设置如下: 我确定我的密码符合这些设置: 启用此策略设置后,用户必须创build强密码才能满足以下最低要求: 密码不能包含超过两个连续字符的用户的帐户名称或部分用户的全名。 密码必须至less有六个字符的长度。 密码必须包含以下四个类别中的三个字符: 英文大写字母(A到Z)。 英文小写字母(a到z)。 非字母字符(例如,!,$,#,%)。 有什么可能是错误的,我不能通过ADFS密码更改页面更新密码?
我有两个AD域,我试图使用NFS与Kerberos到他们两个。 部分过程需要分别为客户端和服务器的主机和nfs主体创build密钥表文件。 我在两个DC上使用相同的batch file来创buildAD中的计算机和用户条目以及keytab文件。 来自其中一个AD的密钥表文件工作得很好,但来自另一个AD的所有密钥表文件都失败: rob@hostname: [NFS_Kerberos_Keytabs]$ kinit -V host/[email protected] -k -t hostname_host_REALM.DOM.COM.keytab Using default cache: /tmp/krb5cc_1000 Using principal: host/[email protected] Using keytab: hostname_host_REALM.DOM.COM.keytab kinit: Client 'host/[email protected]' not found in Kerberos database while getting initial credentials 设置这个时,我首先在数据库中创build了一个计算机条目: # extended LDIF # # LDAPv3 # base <cn=computers,dc=realm,dc=dom,dc=com> with scope subtree # filter: (name=hostname) # requesting: ALL # […]
我有SQL Server 2012,我正在使用域用户(从Active Directory)。 错误地将用户从AD中删除,创build新的具有相同的login名和密码(但具有不同的SID),删除并恢复原来的 – 最终重新创build具有旧SID的旧用户。 几乎一切似乎都很好,除了一个用户。 SQL Server以某种方式被一个用户(所有其他用户都很好)与错误的SID陷入困境,并没有从AD得到正确的SID。 我在两个地方都检查了SID – AD中的SID与SQL Server中的SID不一样。 由于此“SID不匹配”,此用户无法访问数据库。 如果它尝试,它会失败,并得到: “错误:18456,严重性:14,状态:5。 用户“DomainX \ UserX”login失败。 原因:找不到与提供的名称相匹配的login信息。 我从服务器和所有使用的数据库删除了用户,然后添加 – 并再次出现错误的SID! 而这个“新”用户仍然无法连接到数据库。 有两件事“磨我的齿轮”: 其他用户的SID如何匹配,只有一个不匹配? 如果其他用户没有问题(他们得到旧的SID),那么我可以假设在域控制器没有问题? 我已经find了很多有关两个现有用户(或孤立?)login的不同操作,但没有发现只是改变SID。 但主要问题是 – 如何更改MS SQL Server(版本11.0)中的一个用户的SID? 这甚至有可能吗? UPDATE 当我一直在想这个,我意识到我有一个错误的问题。 由于这个UserX是域用户,它不是SQL Server本地用户 – 这意味着我不能直接在SQL Server中更改SID。 我有两个相同的服务器(ServerA和ServerB),使用来自AD的相同用户。 在ServerB中,UserX具有正确的SID,并且可以在SQL Server中正常地进行身份validation(右侧的SID与AD中的方式相同)。 要清楚的是,UserX在ServerA中有错误的SID。 问题 – 如果此用户是来自Active Directory的域用户,那么在哪里以及如何更改其SID? 如果UserX可以在ServerB中进行身份validation,那意味着必须在Windows用户的ServerA中更改SID? 请纠正我,如果有些想法或想法走错了路。 更新2 我find了解决我的问题的办法,虽然没有回答这个问题。 对于任何感兴趣的人 […]
我将在两周后离职。 我可以从我的域成员工作站检查我的Active Directory用户帐户的密码是否过期。 我使用Windows 8.1。 我的用户没有域控制器的pipe理权限。
我目前正在将我们的networking分割成不同的子网。 我们已经有一个DHCP服务器作为我们的Active Directory(Server 2012)的一部分。 我想为所有子网使用此服务器,所以我需要使用DHCP中继代理。 networking将被一个pfSense防火墙分割,该防火墙能够中继内置的DHCP请求。我在我们的testingnetworking的DHCP服务器中configuration了第二个范围,并且创build了一个指导方针来限制这个范围,分配给防火墙端口的circuit-id(DHCP选项82)。 最初,这些软件包被丢弃,因为广播stream量不在networking之间共享。 然后我创build了一个防火墙规则,允许端口67和68上的stream量被转发。 在我添加这个规则后,数据包现在被正确地转发到DHCP服务器,但DHCP服务器根本没有响应。 我的testing客户端有一个预留,并且filter中的MAC地址也被列入白名单。 我还将代理的远程地址添加到Windows防火墙的白名单中。 有没有人有一个想法,我失败了吗?
前段时间我使用PowerShell启用了活动目录回收站。 当时我知道这是工作,因为以下结果: Get-ADOptionalFeature -filter * | select Name,FeatureScope,ObjectClass,RequiredForestMode | fl Name : Recycle Bin Feature FeatureScope : {ForestOrConfigurationSet} ObjectClass : msDS-OptionalFeature RequiredForestMode : Windows2008R2Forest 我的森林设置正确 Get-ADForest | select -expand forestmode Windows2008R2Forest 所以一切似乎都在检查那里。 但是,在testing删除用户和容器,我无法find他们为了恢复这些对象。 唯一出现的是被删除的容器本身 Get-ADObject -SearchBase "CN=Deleted Objects,DC=ba,DC=net" -Filter "*" -includeDeletedObjects Deleted : True DistinguishedName : CN=Deleted Objects,DC=BA,DC=NET Name : Deleted Objects ObjectClass : container […]
我最近在Windows Server 2012上添加了一个Active Directory域控制器到我们的networking。域名是software.eng.apl。 通过selectWindows的“开始”图标>系统>更改设置>更改,然后在域中inputsoftware.eng.apl,我可以将Windows 10计算机join到software.eng.apl域。 出现一个popup框,提示“欢迎使用到software.eng.apl域”。 在“Active Directory用户和计算机”中,客户端PC在“计算机”文件夹中列出,该文件夹validation客户端PC是否能够join域。 我在Active Directory用户和计算机中创build了一个用户帐户。 用户login名是[email protected],密码是Password01。 John Doe是域用户的成员。 在Windows 10login屏幕上,当我select“连接到Internet”时,它显示我已连接到software.eng.apl。 在Windows 10客户端PC上,如果我退出Windows,然后尝试使用[email protected] login,则用户configuration文件服务失败,login将显示。 我可以使用本地用户帐户login客户端PC。 NETLOGON服务正在Windows 10客户端PC和Windows Server 2012域控制器上运行。 我知道login请求到达域控制器,因为在事件查看器> Windows日志>安全性中存在来自[email protected]的Kerberos服务票据请求。 Windows 10客户端上还有一个事件ID为4624的事件,表示login成功。 值得注意的是,Windows 10客户端和域控制器在1:07:56 AM都有事件,这意味着两台机器都有时间同步。 客户端PC和域控制器连接到相同的交换机。 我们没有使用VPN。 两者都连接到相同的NTP服务器。 在客户端机器上,我已经完成以下操作,确保在login之前启动networking连接:启动gpedit.msc>计算机configuration>pipe理模板>系统>login,然后启用“在计算机启动和login时始终等待networking。 “ 我也做了以下操作:启动gpedit.msc>计算机configuration>pipe理模板>系统>组策略>,然后我将“启动策略处理等待时间”设置为120。 我不确定接下来要检查这个问题。
在我们的环境中,我们正在推出802.1x。 这样说,有相当多的客户端恢复到一个较旧(过期)的证书,防止他们进行身份validation和获取networking访问权限。 过期的证书是否可以从AD中删除,否则会导致CRL问题? pipe理层希望推进这个项目,但这个authentication问题是一个交易断路器… 谢谢 法案
我有4个域名,1个林根,3个孩子。 孩子们几乎都是复制品,并且他们的机器在所有3个子域名中都是相同的。 例如: DC1.dev.example.com DC2.dev.example.com DC1.test.example.com DC2.test.example.com DC1.prod.example.com DC2.prod.example.com 从我可以告诉,唯一的问题是域joinSPN重复需要手动修复。 DC1.dev.example.com HOST/DC1 HOST/DC1.dev.example.com 短名称是重复的,所以当我添加testing时,如果我手动input计算机名称(扩展属性,服务原则名称)中的fqdn,则AD域连接过程的SPNSETfunction将失败。 我可以防止将短名称添加到SPN吗?
对于每个客户端,我都build立了一个主文件夹和服务子文件夹。 这些文件夹启用了基于访问的代码(ABE),属于正确安全组(SG)的用户可以查看和访问允许的文件夹,而其他文件夹由于ABE而被隐藏。 但是,我已经达到了拥有超过800个客户的程度,每个客户有2-3个服务,导致一些用户超过了1010个SG。 这导致这些用户无法login,如https://support.microsoft.com/en-us/kb/328889中所述 。 那么,如果我们不能以可扩展的方式使用SG和ABE,还有哪些其他方法更好? 这不是通过增加MaxTokenSize,因为它对LSA /login部分没有影响。 我已经把它增加到48000,并没有帮助。 问候, 约翰·巴比特 系统pipe理员