我有两个域控制器,都是DNS服务器,我已经为两者设置了转发器(按照下面的打印屏幕) 但我没有禁用在两个服务器上recursion(请参阅下面的打印屏幕) 有一个build议禁用DNSrecursion。 我认为,如果我禁用DNSrecursion,它会影响性能,但我也想有最好的安全放置。 请让我知道我该怎么办? 我应该禁用DNSrecursion?
我将一个FreeNAS盒绑定到AD,让学生login到SMB挂载。 这一切工作正常。 我有一个运行在FreeNAS上的bash脚本来build立一个index.html页面,指向每个学生主目录的一个子目录,在那里他们可以把完成的编码项目放到networking上供公众查看。 那也行。 该脚本为FreeNAS上的每个用户进行AD查找,并且只有在他们是学生(即CN=students组的成员)时才将其添加到index.html文件中: ldapsearch -Q -LLL cn=[someuser] ObjectCategory:CN=Person memberOf 这是奇怪的部分。 大约80%的时间,AD查询立即发生。 每五分钟查找一次,完成需要75秒。 我写了一个脚本来testing这个模式是相当可重复的。 几乎总是每5次查找就要花费75秒,查找5次或者不同的名字并不重要。 如果我立即在命令行中执行ldapsearch : ldapsearch -LLL cn=someuser 我反复做,每五次重复都慢。 如果我通过按Ctrl – C中止缓慢的查询,下一次我做它又快了。 我不运行AD服务器,ADpipe理员不知道为什么会发生这种情况。 任何线索? DNS以正确的方式configurationAFAIK – 或者至less,有关安装的其他一切似乎都能正常工作(用户可以使用AD凭证loginFreeNAS,而且这种情况发生得相当快)。 所有时钟也同步。
一家公司正在使用带有ADFS身份validation的Office 365; AD Connect用于目录同步,ADFS是Windows服务器2012 R2版本。 该公司有多个Active Directory域: parent1.com child1.parent1.com child2.parent1.com child3.parent1.com parent2.com … … 根域在Office 365中configuration为联合域(公用域名和AD域名相同); 这个工作正常,用户可以使用他们的UPNlogin到Office 365,比如[email protected]和他们的AD密码。 我需要添加对子域的支持; 因此我通过运行以下命令(在使用Connect-MsolService以pipe理员帐户连接到Office 365之后)将child1.parent1.com添加到Office 365: New-MsolFederatedDomain -DomainName child1.parent1.com -SupportMultipleDomain (注意:如果我没有使用SupportMultipleDomain参数,PowerShell会给出一个错误,说明它是必需的)。 然后,我开始在私人和公共DNS中添加所有必需的DNSlogging; DNSlogging的Office 365validation报告一切正常。 然后将子域添加到AD Connect,并执行同步; 因此,来自子域的用户出现在Office 365中,其用户名如[email protected] 。 我为其分配了相应的许可证,并尝试login到Office 365门户。 但是,子域的用户无法login; 他们会收到一个“无效的请求”错误,并提供以下额外的详细信息: Correlation ID: b1e47d45-b21c-42e9-9758-265804db7171 Timestamp: 2016-08-10 20:27:48Z AADSTS50107: Requested federation realm object 'http://child1.parent1.com/adfs/services/trust/' does not exist. 在ADFS方面显然有些问题,但我不是专家,我也不是那个设置它的人。 […]
默认情况下,所有活动目录GPO均在组策略pipe理中的“组策略对象”文件夹内创build。 我想知道是否有办法使组策略对象内的子文件夹通过IE设置,Outlook设置,ETC分组。
我在AD中有一个名为SQL的OU。 我已经委派一个名为sqladmin的用户的完全控制权。 如果我以sqladmin身份login到成员服务器,则可以使用Active Directory用户和计算机创build两个不同的计算机对象AG和群集。 我可以使用ADUC来设置AG计算机对象上的安全性,以使群集计算机对象具有完全控制权。 但是,如果我尝试通过从AG获取当前ACL并添加ACE来使用PowerShell执行此操作,则当我尝试在AG计算机对象上设置ACL时,出现Access Denied错误。 这是我的代码 $AG = Get-ADComputer AG $cluster = Get-ADComputer cluster $AGDistinguishedName = $AG.DistinguishedName # input AD computer distinguishedname $AGacl = Get-Acl "AD:\$AGDistinguishedName" $SID = [System.Security.Principal.SecurityIdentifier] $cluster.SID $identity = [System.Security.Principal.IdentityReference] $SID $adRights = [System.DirectoryServices.ActiveDirectoryRights] "GenericAll" $type = [System.Security.AccessControl.AccessControlType] "Allow" $inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance] "None" $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $identity,$adRights,$type,$inheritanceType $AGacl.AddAccessRule($ace) Set-Acl […]
我正在对PCI-DSS进行一些审计,特别是“审计目录服务访问”。 这创build了大量的日志,主要基于以相同方式访问的几个特定的重复性属性。 我已经能够通过TechNet识别这些属性。 在“AD用户和计算机”的审核用户界面中,我所遇到的问题都不存在。 我想我可以在adsiedit中编辑架构设置并禁用inheritance? 这似乎违反直觉,但它应该工作。
configurationActive Directory站点间复制时,复制间隔的下限为15分钟; 或者至less,这个限制是由AD网站和服务控制台执行的。 有没有办法将网站链接的站点间复制间隔configuration为较低的值? 注:我知道我可以把同一地点的同一地点,这将强制连续复制; 但是我想有适当的AD站点,要求是实际降低站点间的复制间隔 。
任何使用AD Connect Sync Health的用户都可以使用非Express安装程序吗? 我安装了Sync Health代理并连接到AAD,但出现错误 – 在同步错误小程序中显示“最新的数据不可用”。 AD连接本身似乎很好,我的对象正在同步aok。 有趣的是,本地端的DC在Microsoft Azure AD Sync / Debug和Sync / Operational日志中没有显示事件日志条目 – 不仅没有错误,而且根本没有条目。 也许这是一个问题在前端? 贾斯汀欢迎任何build议
我的一个朋友帮助我从Server 2008 AD迁移到2012 R2。 他将控制权从旧机器转移到新机器上,停用旧机器,然后升级成为纯粹的2012R2域名。 我注意到第二天,我的Windows 10机器无法对机器进行真实性validation。 Windows 8.1机器不能再自动运行login脚本。 当我尝试通过inputAD的IP地址将新的2012R2服务器添加到域时,出现错误: An active Directory Domain Controller (AD DC) for the domain "XXX.XXX.XXX.XXX" could not be connected 当我input域名的时候,我得到了同样的东西,其中IP被更改为域名。 任何想法如何解决这个问题?
尝试运行以下代码段时出现错误。 $Users = Import-Csv -Path $Path foreach ($User in $Users) { $Domain = "Domain.lan" $DefaultPassword = 'Password123' $Parms = @{'Name'= "$($User.Lastname), $($User.Firstname) $($User.middleinitial)"; 'DisplayName' = "$($User.Firstname) $($User.Middleinitial) $($User.LastName)"; 'samAccountName' = "$($User.Firstname[0])$($User.middleinitial)$($User.Lastname)".ToLower(); 'UserPrincipalName' = "$($User.Firstname[0])$($User.middleinitial)$($User.Lastname)@domain.lan".ToLower(); 'GivenName' = $User.Firstname; 'Surname' = $User.LastName; 'Initials' = $User.middleinitial; 'EmailAddress' = $User.EmailAddress; 'AccountPassword' = (ConvertTo-SecureString $DefaultPassword -AsPlainText -Force); 'Enabled' = $true; […]