我正在运行带有模块back_ldap的OpenLDAP 2.4.44作为MS-AD-Servers的LDAP代理(详细信息请参阅: 作为Active Directory代理的openLDAP )。 现在我需要将AD-Server中的模式添加到OpenLDAP-Server中,并且我已经使用ldapsearch将MS-AD-Server中的模式导出到ldif文件中(详情请参阅: 如何从服务器获取模式信息? )。 现在我需要将ldif格式转换为OpenLDAP slapd.conf的模式格式。 无法使用ldapadd加载ldif,因为OpenLDAP以代理模式运行,所以每个请求都将被转发到MS-AD-Server。 如何将ldif文件转换为模式文件? 有没有任何工具。 或者如何添加一个通过slapd.conf加载的ldif文件。
我正在将我的系统从2012 R2升级到2016服务器。 在这个过程中,我发现当我的PDCclosures时,我的辅助域控制器不能联机。 我运行了dcdiag,并在尝试修复这些错误之后,决定使用新的域控制器简单地重新开始。 但是,对于这些问题并不是很有经验,我想问一下我需要注意什么,或者我可能需要采取的重要步骤,以避免经验丰富的操作员熟悉但我可能不熟悉的问题。 我知道基本知识。 我创build了PDC和辅助并连接它们进行复制。 有一次我甚至把所有的错误都清理干净了。 我只是没有及时纠正发生的问题。 该系统是相当小的。 TFS服务器,build立机器和几台客户端PC。 我可以简单地写下所有的电脑,服务帐户和用户,如果必须的话,可以重新input。 但我想确保我不会错过一个可能会导致需要大量修复工作的问题。 我在微软find了这个链接。 虽然年龄较大,但我想知道这些步骤是否仍然是一个很好的指导。 本指南提到replace一个域控制器,这是我的情况,因为我的二级DC不再正常工作。 在每个请求的初始发布之后添加注释:在PDC上从dcdiag /q输出。 当然,BDC也有一系列的错误,第一个BDC错误是重要的:BDC广告失败,我不知道如何修复。 在PDC上,第一个错误: There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ……………………. VSVR-WBC-DC01 failed test DFSREvent 第二个错误: An error event […]
这是我的情况: 我inheritance了只有一个域控制器的Windows 2003域,我们将其称为DC1。 DC1也是该组织的DNS,DHCP和Exchange服务器。 DC1最初是一个小型企业服务器,但在某个时候升级到了Server 2003 Standard。 曾经有第二个域控制器和DNS服务器称为DC2,但它崩溃,从来没有从域干净地删除。 我已经使用ntdsutil删除了DC2元数据,并删除了Active Directory中的计算机帐户,但名称服务器(NS)和权限开始(SOA)对DC2的引用分散在整个DNS正向查找区域。 我有一个全新的Exchange 2007服务器来取代目前的DC1(Exchange 2003,DNS,DHCP,DC)。 因此我需要完成以下任务: 推广域上的新服务器作为域控制器。 将DCM中的FSMOangular色转移到新的域控制器。 在新的域控制器上安装DNS和DHCP。 从DC1中删除DNS和DHCPangular色,并将其从域中删除。 在新的Exchange 2007服务器就位之后,重新加载DC1并将其转换为辅助域控制器和DNS服务器。 我担心在我的计划的第3步中,我将最终将错误的DNSlogging复制到新的域控制器。 在复制到我的新服务器之前,清理现有DNS的最佳方法是什么? 似乎最好只是有一个干净的正向search区域,但我真的不明白该区域是如何工作的。 我已经打开了DNS清理,但它似乎从来没有清除任何对DC2,域控制器和DNS服务器前一段时间失败的引用。 我可以删除整个正向search区域吗? 它是否重新创build? 有人可以向我解释正向查找区域中的不同容器(_msdcs,domain.local,zone.domain.local)是什么?
我有一个Windows 2008服务器连接到OpenSolaris盒子上的iSCSI目标(yay ZFS!)。 我想创build一个完全独立于我的Windows域的两个盒子之间的专用networking。 在Windows计算机上configuration附加networking适配器的最佳方法是什么,以免它认为新的子网是Windows域的一部分? 我想确保Windows不会奇怪地开始通过专用线路来传播活动目录通信,并且它不会使用来自专用networking的IP中毒DNS。
从AD移除和重新join工作站时,是否存在将其从AD中分离的缺点,而不删除AD对象,并将其重新join? 请详细说明。
我正在使用LDAP + Kerberos来对Windows 2003 R2上的Active Directory进行身份validation。 我的krb5.conf和ldap.conf似乎是正确的(根据我在网上find的几乎所有样本)。 我可以使用密码和ssh密钥login到主机。 当我运行getent passwd时,我所有的ldap用户帐户都列出了所有重要的属性。 当我运行getent组时,所有ldap组和它们的gid被列出,但是没有组成员。 如果我在任何组上运行ldapsearch和filter,则所有成员都以“member”属性列出。 所以数据在那里,只是没有被正确parsing。 看起来我只是在ldap.conf中使用了一个不正确的映射,但我看不到它。 我已经尝试了几个变化,都给出了相同的结果。 这是我目前的ldap.conf: host <ad-host1-ip> <ad-host2-ip> base dc=my,dc=full,dc=dn uri ldap://<ad-host1> ldap://<ad-host2> ldap_version 3 binddn <mybinddn> bindpw <mybindpw> scope sub bind_policy hard nss_reconnect_tries 3 nss_reconnect_sleeptime 1 nss_reconnect_maxsleeptime 8 nss_reconnect_maxconntries 3 nss_map_objectclass posixAccount User nss_map_objectclass posixGroup Group nss_map_attribute uid sAMAccountName nss_map_attribute gidNumber msSFU30GidNumber nss_map_attribute […]
我们在Active Directorynetworking上拥有大约1200台Windows PC客户端。 我们已经注意到,似乎有随机的系统没有制定政策。 例如,在我们的策略中,Windows系统是通知更新但不应用更新。 即使没有任何人login,我们在夏季升级后还有一组系统。即使没有任何人login,系统也会下载更新并重新启动。问题在于这些系统具有Deep Freeze冻结function,因此,当它们重新启动时,所应用的任何修复都会被删除,所以他们再次重新启动他们的下载/重新引导周期,无限的。 其他人,用户login,它会popup一个通知,它会在五分钟内重新启动,除非你点击“稍后”。 在过去,我们看到一些问题,例如阻止访问AD策略中的C:驱动器; 通常系统隐藏驱动器,在某些系统上,看似随意,用户将login并访问。 从命令行刷新策略似乎没有解决问题,但有时会重启几次。 这些系统似乎在启动时具有networking访问权限,所以它们应该能够与AD服务器通信(加上用户可以login到它们,所以它们必须能够进行authentication,因为冻结的系统没有被caching的configuration文件被冻结)。 对于AD政策来说,这是否正常,并不总是“服用”客户,还是应该检查什么? 其他人是否按预期的方式遇到这种情况? 我知道AD策略应该在客户端随机刷新,但是当我们运行命令手动刷新策略时,似乎没有解决问题。
任何人都可以推荐一个基于Web的工具来pipe理/查看活动目录环境中的DNSlogging吗? 像ProBIND,但是对于微软商店?
我pipe理的Windows 2003 AD域有几个Windows XP客户端和一个Windows 7 RC1客户端。 最近,Windows 7客户端开始拒绝访问networking共享,除非提供主机的FQDN。 有趣的是,只使用主机名的DNSparsing工作正常。 有谁知道什么可能导致这个或如何解决它? 工作正常 ping hostname \\hostname.mydomain.internal\MyShare 不起作用 \\hostname Error: Error code 0x80070035 – The network path was not found. \\hostname\MyShare Error: Error code 0x80004005 – Unspecified error UPDATE 这个问题在我发布这个问题后的一天就解决了。 也许这是穆斯所build议的时间同步问题。 感谢大家的帮助。 如果我能够重现这个问题,我将重新回顾这个问题,并进一步探索这些解决scheme。
我们有一个Linux服务器场以及一些Windows机器,最后我们从两个并行身份validation系统(使用Fedora目录服务和Active Directory)移动到了一个 – 只是Active Directory。 我configuration了LDAPS,除了一件事以外,一切正常。 我在部署前检查了我可以更改我的密码,我仍然可以。 但我是pipe理员。 (实际上,我是一个在电视上播放pipe理员的工程师,但这又是一个故事。) 我的用户都不能更改他们的密码(在Linux命令行上使用passwd)。 他们得到错误 LDAP password information update failed: Can't contact LDAP server 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 围绕Google运行并没有给出任何明显的答案,但很明显,当pipe理员可以做到这一点时,用户有权通过LDAPS更改密码时会遇到一些问题。 (当然,我已经检查过用户有权更改密码)。 有任何想法吗?