我在Windows Server 2003和Windows Server 2008上使用IIS运行多个网站。这些网站只使用指定的NTLM选项(无Kerberos)进行Windows身份validation。 这些服务器都是同一个活动目录域,function级别Windows Server 2003的成员。有一些域控制器同时运行Windows Server 2008和Windows Server 2012。 该域与自己林中的另一个活动目录域具有双向信任关系。 有时,用户无法使用受信任域中的用户帐户对IIS网站进行身份validation。 他们通过浏览器反复提示input凭据,经过多次尝试,显示一个空白页面。 凭据是有效的。 作为故障排除步骤,我授予受信任域权限的testing帐户以在本地login到Web服务器,并且能够在IIS不允许用户使用相同凭据login的同时使用该帐户login到Web服务器。 这个问题不会同时发生在所有的Web服务器上,其中一个会受到影响,而另一个则会继续处理来自可信域的login请求。 重新启动工作站服务可解决问题(以及重新启动整个服务器)。 我的问题是: 如何确定哪个活动目录域控制器正在处理来自IIS的login请求:a:主域b:受信任的域 当IIS收到信任域的login请求时,该请求是如何处理的? 具体来说,请求是发送到主域还是次域中的域控制器,以及如何select特定的域控制器? 谢谢,
我实施了以下组策略设置,允许非pipe理员安装打印机驱动程序并启用/禁用他们的wifi: User Configuration -> Administrative Templates -> Network -> Network Connections -> Ability to Enable/Disable a LAN connection 和 Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation -> Allow non-administrators to install drivers for these device setup classes 在这两种情况下,我仍然得到一个UAC提示,但是这可以用非pipe理员用户的凭据填充 – 所以设置确实起作用,但是我们得到一个意外的UAC提示,用户需要input它们并不直观inputpipe理员密码…“框中的用户凭据 这是预期的行为? 有没有办法阻止这些UAC提示? (我知道禁止点和打印的UAC提示的设置,现在我不关心点和打印)
将域用户的“HOME”环境variables映射到networkingpath是否被认为是最佳做法? 如果是这样,为什么? 通过“HOME”variables,我指的是: %HOMEDRIVE% %HOMEPATH% %HOMESHARE% 出现这个问题的原因是某些应用程序(如Git)将关键configuration文件存储在用户的%HOMEPATH%中。 如果用户正在远程工作,或者服务器或networking已closures,则这些应用程序将无法正常运行,因为它们的核心文件无法从远程HOMEPATH访问。 总是使用HOMEPATH的默认本地Windows用户目录似乎更有意义,但是我找不到任何有争议的最佳实践。 在我的办公室,标准的做法是将用户HOMEPATH映射到networking文件夹…
我有一个有趣的情况,我们有一个完全相同的应用程序在“开发”环境中运行,而另一个在“testing”环境中,在通过LDAP对AD进行身份validation时行为有所不同。 行为是我们希望LDAP在用户尝试使用禁用的帐户进行身份validation时引发身份validationexception。 在开发中,它的工作原理和我们预期的一样,我们得到如下定义的错误(数据代码= 533): http://www-01.ibm.com/support/docview.wss?uid=swg21290631 当我们在testing环境中运行这个代码时,它会让被禁用的用户login正常。 很明显,在每个环境中,LDAP / AD的configuration是不同的? 如果是的话,什么设置控制这种行为
我们在运行SQL Server 2005标准版/企业版或SQL Server 2008企业版的环境中有许多MS SQL服务器。 目前,SQL服务作为本地服务或networking服务运行,而MSbuild议的最佳做法是作为我们正在努力实现的域帐户运行。 对于域帐户,每个服务器的每个服务都有一个单独的域帐户是最佳做法吗? 所以如果我们有4个SQL服务需要运行每个服务器,我们有50个服务器,我们会在AD创build50 * 4 = 200个帐户? 这对我来说似乎太过分了,我想知道是否有人对这种设置和pipe理有任何实际的经验。
Active Directory中的本地,全局和通用组之间的基本区别是什么? 将用户和组分配给这些组时,最佳做法是什么?
我有一个Windows Server 2008 R2打印服务器设置托pipe多个打印机给我的最终用户。 我想更改打印服务器上托pipe的所有打印机的命名约定,并希望在客户端反映此更改。 例如:我在打印服务器上有一个名为“Cottage”的HP4000打印机。 我想在打印服务器上重命名打印机“HR-1stFloor-220a”,并且希望打印机以新名称出现在每个客户机系统上。 只需重新命名服务器上的打印机,就可以自动创build一个从旧打印机名称到新名称的链接,所有客户端都可以正常工作,但从他们的angular度来看,实际名称并没有改变。 重命名共享名称也不会影响最终用户(尽pipe它会更新端口信息)。 我希望打印机的名称是关于部门和位置的有意义的信息,但是这意味着当他们换手或者移动时,我需要更新这些信息,而且目前我看不到写自定义启动的方式,并通过AD删除/replace它们。 有没有简单的方法来完成这项任务? 感谢您的帮助。
所以我有一个服务器,并且每次用户或服务帐户login到计算机时,都会在系统日志中生成一个错误事件: A Kerberos Error Message was received: on logon session DOMAIN\serviceaccount Client Time: Server Time: 12:44:21.0000 10/9/2012 Z Error Code: 0x19 KDC_ERR_PREAUTH_REQUIRED Extended Error: Client Realm: Client Name: Server Realm: DOMAIN Server Name: krbtgt/DOMAIN Target Name: krbtgt/DOMAIN@DOMAIN Error Text: File: e Line: 9fe Error Data is in record data. 所以当然我把这个search了一下,我得到的唯一信息就是“它不一定表示有问题,你通常可以忽略它”。 那么,哎呀,那太好了,但是这些错误每分钟都会将我的系统日志发送给我,我真的很想让他们停下来。 有任何想法吗? 从Microsoft AskDS博客: KDC_ERR_PREAUTH_REQUIRED […]
我正在使用专用的Krberos 5领域(MIT,在Solaris 11上, krb5-config –version返回: Solaris Kerberos (based on MIT Kerberos 5 release 1.6.3)build立一个Solaris和Linux机器的环境Solaris Kerberos (based on MIT Kerberos 5 release 1.6.3) )。 我们还有一个独立领域的Active Directory(Windows 2003)服务器。 我的目标是让AD服务器中的所有用户以及基于MIT的主机/ nnn,nfs / nnn和cifs / nnn主体。 我正试图在这两个领域之间build立跨域信任。 假设如下: Unix领域: EXAMPLE.COM AD领域: AD.EXAMPLE.COM 我已经根据Microsoft文档build立了AD跨领域信任,具有双向信任。 会发生什么是跨领域authentication只能在一个方向上工作。 从AD到Unix的作品: # kinit [email protected] Password for [email protected]: root@clienttest2:~# kvno [email protected] [email protected]: kvno = 1 但是,相反却没有,并给了我一个错误消息: […]
在一个域中,我想将DC设置为时间服务器。 要做到这一点,我使用这个命令: w32tm /config /manualpeerlist:europe.pool.ntp.org /syncfromflags:manual /reliable:yes /update 和 w32tm /resync /rediscover 在我使用的客户端服务器中 net time \\<comp.name.of.ad> /set /y 但有些客户端仍使用本地CMS时钟。 我能做什么? 提前致谢。 编辑: 我也跑 w32tm /resync [/computer:<computer>] [/nowait] [/rediscover] 在客户端,但时间服务器仍然是客户端的本地CMOS时钟。 在AD源是我设置的。 (nist.expertssmi.com) 客户来源是本地CMOS时钟