我有一个活动目录集成的存根区域似乎正常运行(区域数据在每个DC上填充)。 它存储在DomainDNSZones分区中,但是在其容器中没有看到任何dnsNode对象。 我以前的印象是,任何域名作用域的DNS区域都会在这里存储他们所有的区域信息,但是我发现这里面一定有更多的区域信息。 区域数据还可以从哪里加载?
什么是在交换环境下在活动目录2003中更改某人的姓名和电子邮件地址的正确过程? 例如,当员工结婚和他们的姓氏改变。 我们的用户名和电子邮件地址都是基于他们的名字,所以这一切都改变了。 我遇到的一些具体问题是他们的旧名称在交换系统pipe理器中出现,他们的用户configuration文件问题在域连接的计算机上无法正常工作,而他们的旧名称仍显示在全局地址列表中。
我正在尝试将ESX 5.0.0连接到我们的域控制器,以便为域组提供特定的angular色安全性。 但是,在主机连接到域后,我看不到任何组。 在configuration – >身份validation服务 – 我连接主机到域: 我创build了我想要的angular色,并具有选定的已批准function 但是,当我想要添加一组虚拟机的权限,我看不到“我的域”的下拉列表中,只有:“本地主机” 如何在“域名”下拉列表中看到“我的域名” – 这样我可以select域名组以将angular色分配给该域名? 我想指出的是,我按照说明连接到了 VMware网站的域名表单上(只需要创buildangular色和添加权限)
如何检查在WSUS中下载的更新大小? 例如,我需要检查2013年4月9日下载的更新大小为新的26更新。 我怎样才能在硬盘上find新的更新? 注意:我已将WSUSconfiguration为自动批准规则。 更多信息我在Googlesearch,我发现这个下面的网站 http://social.technet.microsoft.com/Forums/en-US/winserverwsus/thread/400d1fea-c155-4add-aa16-7be2185e066e/ 但不幸的是,我的问题没有答案! 任何意见,将不胜感激,谢谢
在我的帐户中更改密码后,我们一直通过在域控制器上交换此错误而被locking: Pre-authentication failed: User Name: william User ID: [domain]\william Service Name: krbtgt/[domain] Pre-Authentication Type: 0x2 Failure Code: 0x18 Client Address: [exchange IP] 我已经看过: 我的手机,更新了帐户,甚至删除了帐户。 作为我运行的服务器上的服务/任务(没有)。 到邮件服务器的SMTPstream量(在此期间没有)。 任何对服务器的请求(使用wireshark,kerberos请求只是每60秒从无处出现)。 已禁用帐户的预先validation。 将密码回滚到旧密码。 断开我的邮箱。 有任何想法吗? 我期待今晚安排重启,但是这很糟糕 ,我什么都做不了。
我有一个AD域。 2003年FFL / DFL。 对于Server 2012,架构已升级到版本56.该域包含来自Server 2003,Server 2008,Server 2008 R2和现在Server 2012的域控制器的混合。 我有一个运行2008 R2的企业颁发证书颁发机构。 在Server 2012域控制器上,他们无法注册或自动注册其KerberosAuthentication证书。 应用程序日志中的错误事件ID 6和13: 本地系统的自动证书注册失败(0x800706ba)RPC服务器不可用。 本地系统的证书注册失败,从ECA.domain.com \ Company颁发CA(RPC服务器不可用。0x800706ba(WIN32:1722)),请求身份validation证书,请求ID为5512。 看到“RPC服务器不可用”本能地跳转到存在networking连接问题的结论。 但事实并非如此。 我已经使用portqry.exe来validation端点映射程序和所有高编号的端口确实可以从DC到ECA。 2012域控制器成功自动注册了两种其他types的证书。 这只是一个证书,这是问题。 我看到了ECA的要求,失败的原因与客户的失败原因相同。 所以显然是得到networking通信。 这个特殊的证书有一些东西。 没有其他域控制器有此证书的问题。 只有2012年的区议会。
背景 在configuration我们的活动目录以便将电脑移动到服务台工作人员的能力之后,我开始听到报告说计算机会被“卡住”在特定的OU中。 他们可以移动一台电脑,但是当试图移动一台电脑时会得到“拒绝访问”的信息。 这个问题是100%可重复的,只存在于我们领域的一小部分OU。 两个OU的Protect object from accidental deletion都不允许Protect object from accidental deletion 。 我已经知道了 使用ldp.exe检查ACL确实显示出一个微小但重要的区别。 出于某种原因,只有一个OU的ACTRL_DS_DELETE_CHILD属性被拒绝给Everyone 。 在任一OU上打开和closuresProtect object标志都不能解决问题。 它按照预期修改了ACL,但ACTRL_DS_DELETE_CHILD标志在任何情况下都是完全未修改的。 我可以使用这个解决scheme来“修复”一个特定的OU: closuresProtect object标志 删除与每个人关联的拒绝ACE。 打开Protect object 现在ACL的匹配。 难道不同版本的Active Directory或远程服务器pipe理工具可能与Protect object标志在OU上的实际表示方式有不同的行为? 问题 什么可能会导致这种差异,我能做些什么来确保它在Active Directory域中的所有OU上得到纠正? 细节 统一差异是这样的: 18c18 < Ace Mask: 0x00010042 — > Ace Mask: 0x00010040 20d19 < ACTRL_DS_DELETE_CHILD 如何识别受影响的组织单位 编辑:我写了一个PowerShell脚本来find有这个标志设置他们的组织单位。 $Base = "OU=MyOU,DC=your,DC=domain,DC=com" Import-Module […]
我有一个全新的服务器映像,只要它join域,就会失去它的信任。 我怀疑这是因为使用此Powershell脚本的LDAP版本发现的重复的SPN Powershell脚本 #Set Search cls $search = New-Object DirectoryServices.DirectorySearcher([ADSI]“”) $search.filter = “(servicePrincipalName=*)” $results = $search.Findall() #list results foreach($result in $results) { $userEntry = $result.GetDirectoryEntry() Write-host "Object Name = " $userEntry.name -backgroundcolor "yellow" -foregroundcolor "black" Write-host "DN = " $userEntry.distinguishedName Write-host "Object Cat. = " $userEntry.objectCategory Write-host "servicePrincipalNames" $i=1 foreach($SPN in $userEntry.servicePrincipalName) { Write-host "SPN(" […]
由于各种原因,大量的Windows PC未join我们的Windows 2012 R2 Active Directory域。 我们正在纠正这个问题,并逐个join个人电脑。 现在我们的一些员工已经安装了Windows 8.1个人电脑,而且在购买时,他们忠实地遵循微软的要求,创build一个与电脑相关的微软Live账户。 用户名是UPN的forms,对于这个问题,我将把它当作微软的演示域名,所以[email protected]。 这些PC已经由我们的远程工作人员进行了良好的configuration。 只有现在我才能把他们带到我们的领域。 不出所料,我们的工作人员select的UPN与我们给予我们域名的真实UPN一致,因此用户使用他们的电子邮件地址(UPN)login到PC,然后使用相同的帐户名login到中央服务。 (这不是SSO,因为Microsoft Live和我们的域之间没有信任关系。) 我可以很容易地将PCjoinCONTOSO域,而UPN的其他任何地方都可以工作。 我还准备好了GPO,以说服这些Windows电脑默认使用不合格的用户名login我们的域名而不是Microsoft Live。 但是,似乎Windows 8.1区分真正的本地帐户,Microsoft Live链接帐户和域帐户的方式是本地帐户使用非限定名称,Live帐户使用UPN,并且域帐户被推回到使用DOMAIN \用户名样式。 一年前,我们从CONTOSO \用户名表单中移出,将其作为我们向Office 365并行迁移电子邮件服务的一部分,我宁愿继续让用户使用UPNlogin。 我知道我可以使用类似Forensit 用户configuration文件迁移向导的方式将用户的本地configuration文件迁移到域configuration文件 ,以便处理数据。 但是,是否有任何将这些PC上的loginUPNforms从Microsoft Live迁移到我们的域的方法? 我真的不想让一些人能够用UPNlogin,但其他人不得不记得使用旧的DOMAIN \ Username格式。
我相当肯定我发现了一个错误,但是我正在试着理解它,也许会得到一个理智的检查。 脚本 一个策略, 如果请求正在查找特定的loggingAND并且客户端IP不在特定的子网中,则策略匹配并生成一个CNAMElogging,其目标不在策略中,并且不在策略中 。 例: Zone = example.com example.comlogging默认范围: testme IN A 10.1.2.3 testOther IN A 10.11.11.11 区域范围= TesterScope logging在TesterScope : testme IN CNAME testOther.example.com. 客户端子网MySubnet包含10.8.8.0/24 带EQ的客户端子网QRP 使用以下configuration查询parsing策略MyQRP : 条件= And 内容= TesterScope 标准: FQDN = EQ,testme.example.com. ClientSubnet = EQ,MySubnet 这会产生预期的结果,即: 如果来自testme.example.com中的IP的MySubnet ( 应该匹配 ),即使必须在默认范围内parsingCNAME ,它也会正确地返回(并parsing) CNAMElogging(QRP专门只应该当FQDN是testme.example.com不匹配testOther.example.com )。 所以结果是10.11.11.11 ,这是正确的 。 如果来自testme.example.com之外的IP的MySubnet ( 不应该匹配 […]