我有一个奇怪的问题。 我正在正确设置“站点和子网”,以便我的AD客户端连接到适当的DC(而不是全球的另一端)。 要做到这一点,我开始在DC上过滤日志“NO_CLIENT_SITE”的错误 – 而且,虽然我可以很容易地find大多数的客户端地址,但有一些是不可能的。 我在组织中只使用私有IP地址,有些人可以使用VPN(也可以使用私有IP进行隧道接口)。 但在日志中,有一些客户端会报告公有IP地址或APIPA地址,例如: 05/24 16:28:45 APAC:NO_CLIENT_SITE:CN070E141 169.254.87.93 坦率地说,这是不可能的 – 我100%肯定使用APIPA的客户端将无法连接到任何地方。 同样,使用公共IP地址的客户端将无法达到DC。 我想到的唯一解释是客户端上有多个接口,其中一个接口工作正常,并且便于与DC通信,另一个接口具有APIPA或公共IP,并将该地址报告给DC。 这就引出了一个主要问题:如何确保提供给DC的地址始终是用于通信的接口的地址? 或者也许有人可以提供替代解释?
这是驾驶我的屁股。 我试图设置一个AD集成的Ubuntu 16.04服务器,通过SSHlogin时接受Kerberos票据。 我有一个CentOS 7服务器在join到AD域之后接受门票没有问题,但是我没有在Ubuntu服务器上得到正确的configuration。 这是设置: Windows 2012 AD域(realdomain.tld) Fedora 25工作站(wksf25.realdomain.tld) CentOS 7服务器(sc7.realdomain.tld) Ubuntu 16.04服务器(su16.realdomain.tld) 一切都通过领域join到公元,这没有任何问题。 所有的东西都可以通过login或通过kinit获得Kerberos票据。 从wksf25到sc7的SSH服务工作得很好,而且我可以使用我在loginwkfs25时获得的kerberos票证通过SSHlogin。 这里是Ubuntu的设置步骤: 安装软件包: apt install realmd oddjob oddjob-mkhomedir sssd sssd-tools adcli samba-common krb5-user chrony packagekit libpam-krb5 编辑chrony.conf以使用AD DC。 设置realmd.conf: vim /etc/realmd.conf [users] default-home = /home/%D/%U [realdomain.tld] fully-qualified-names = no manage-system = no automatic-id-mapping = yes join域: realm join […]
我们正在实验室中build立一个自我托pipe的邮件解决scheme,我们被要求成为我们自己的CA. 我们遇到的问题是Thundebird抱怨说我们的根证书是不可信的,即使我们知道它是有效的。 问题是Thunderbird附带了它自己信任的证书,而且它不会查看计算机的可信证书,所以只要将GPO推送到具有根证书的所有客户端都不起作用。 我们需要自动将根证书导入到Thundebird中,并且在解决问题时遇到严重的问题。 Autoconfig正在工作,雷鸟正在获得正确的服务器configuration,但证书错误仍然存在。 唯一已知的方法是手动将证书导入到Thunderbirds可信证书。 这里有人有什么build议如何进行?
我知道有几个关于以下问题的post,但是他们没有为我解决这个问题。 让我解释一下情况: 我们有一个客户希望从旧数据中心迁移到我们的客户。 所以我们创build了一个站点到站点之间的连接,我试图在我们身边的一台服务器上。 域function级别是Windows Server 2012,而域控制器是旧的Windows Server 2012数据中心服务器。 我们这边的服务器是Windows Server 2012 R2服务器。 所以我预制了dcpromo,没有任何问题,一切(DNS,用户和计算机等)被复制到新的域控制器。 现在我尝试join我们的新服务器之一(也是Windows 2012 R2),但是我收到以下错误: 已成功查询用于为域“domain.X”定位域控制器的服务位置(SRV)资源logging的DNS: 查询是针对_ldap._tcp.dc._msdcs.domain.X的SRVlogging 以下域控制器由查询标识:ad.domain.X dc01.domain.X dc02.domain.X 但是,不能联系域控制器。 这个错误的常见原因包括: 主机(A)或(AAAA)logging将映射域控制器的名称到其IP地址的logging丢失或包含不正确的地址。 在DNS中注册的域控制器没有连接到networking或没有运行。 ad.domain.X是旧数据中心中的域控制器,dc01和dc02是新数据中心中的新域。 在需要join域的服务器上的netSetup日志文件中,当我尝试域join时,发现以下错误。 NetpValidateName: checking to see if 'domain.X' is valid as type 3 name NetpCheckDomainNameIsValid for domain.X returned 0x54b, last error is 0x0 NetpCheckDomainNameIsValid [ Exists ] for 'domain.X' […]
有没有办法在局域网中search特定事件的所有事件日志?
Windows Server 2003。 我需要我的主机在属于其域的计算机上更改密码策略(必需的密码长度)。 我只需要将更改应用于计算机帐户。 他们声称这是不可能的,而不会影响整个域名。 我知道这是可能的,因为我已经在其他主机上完成了。 有什么步骤来做到这一点?
我们公司(一家小型的networking公司)很快就会从基于工作组的环境迁移到基于域的环境(Windows Server 2008)。 我们的一些团队成员(包括我自己)主要从我们的笔记本电脑工作,并且安装了大量私人资料(应用程序,文档)。 目前,这不是一个真正的问题,因为我们可以使用一个本地帐户login到系统。 我想尽可能避免重新安装和重新configuration90%的设置,甚至可能在同一个系统上安装两次相同的应用程序,只是因为它没有为新创build的域用户安装。 到目前为止,我们还没有很多与域名有关的经验,我发现想出简单而详细的信息和答案是相当困难的。 什么是做这种迁移的最佳方法? 已经有一个关于工作组 – >域迁移的问题 ,但是从最终用户的angular度来看,并没有真正详细地讨论实际的工作站configuration和需要记住的事情。 任何意见,将不胜感激。
我相当新的LDAP和AD。 我必须将我们目前的授权/authentication结构从AD移植到OpenLDAP。 是否有可能在Windows中运行整个设置? 什么是政策和调整req。的迁移的步骤? 我读了几个教程,所以应该能够按照input。 问候,安东尼
我有很多箱子都是本地用户帐户。 我们希望开始将它们整合到Active Directory系统中。 (我知道…我知道..它必须是活动目录,而不是openldap,kerberos或类似的东西)我正在寻找一种方式来移动帐户,但最重要的是移动已经encryption的密码。 是否有任何types的PAM库或其他types的脚本可以用来从一个设置移动到另一个?
我和MSP一起工作,我们希望实施一些措施,以便我们组织中的每个用户都可以轻松地添加到多个不在同一个森林中的不同域中。 让我举一个例子 说一个新用户,John Doejoin我们的公司,显然我们不希望每个人都知道域pipe理员的密码,所以我们为他创build一个用户名,adminjd,他要和一家公司XYZ合作,但是我们pipe理很多客户,所以他不仅要有XYZ账户,还要有ABC,123,ACME等等 – 所以加上他的服务账户可能会耗费几天的技术人员。 不好。 如果我们与多伊先生有一个不太友善的分歧,我们想删除他的账目,这个问题就更加复杂了。 我们可以使用Solarwinds NCM for Cisco / Juniper / Etc轻松快捷地完成此任务。 设备,但我们没有一个很好的Active Directory / LDAP解决scheme,付费或其他。 监视事件和其他相关的活动目录信息也是很好的,但主要function如上所述。 有没有人有这样的软件的任何经验? 有人可以提出build议吗?