短版 域控制器已build立,然后脱机的时间长于逻辑删除限制。 现在我不能得到它复制。 相关的错误消息 在dc2上( 交换机和dc1都存在相同的错误消息): The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/exchange.mydomain.local. The target name used was [email protected]. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target […]
我是一个程序员,需要将这个应用程序集成到新的公司范围的Active Directoryloginscheme中。 这意味着更改我们系统中的所有用户名以使用新的scheme。 新的计划是“第一名,姓氏”,所以乔·史密斯将有一个用户名jsmith。 如果约翰史密斯现在被雇用,他会得到jsmith2。 但是,一旦乔离开公司,他的AD帐户被删除,并且jsmith再次可用。 所以如果吉尔史密斯现在被聘用,她会得到jsmith。 从应用程序的angular度来看,这在我看来会引起一些问题,因为我现在可以有关于Joe的logging和与Jill有关的logging是无法区分的,因为它们都是由“jsmith”创build的。 因此,我不禁要问,是否有一个标准或最佳实践来解决在组织范围内重用用户名的问题,特别是在大公司中。 当我在会议上提出自己的担忧时,我被告知:“大公司名称没有办法logging每个离开公司的用户的logging”,这让我感到如此疯狂。 那么,是否有一个普遍接受的解决scheme来处理用户名? 还是每个公司都是这样做的?
我工作的地方是为所有临时雇员login(sAMAccountName)添加一个t_前缀。 当某人从temp切换到perm或者另一种方式时,前缀被添加/删除。 虽然Windows和AD都可以,但是这种做法却混淆了大部分(如果不是全部的话)依赖AD / LDAP进行身份validation的其他系统,因为它们无法检测到重命名的帐户。 有没有强有力的理由有这样的做法,是不是其他的替代scheme会更好地与其他系统?
Active Directory域如何join计算机(本地MS Windows或带有winbind的Linux)确定最接近的密码服务器? 这个问题意味着在不同位置有一个拥有2+ Active Directory服务器的集群。 在Windows上,没有明显的选项可以select使用哪个Active Directory服务器进行身份validation等。 在Linux上 (使用samba / winbind)有一个smb.cfg(“密码服务器”)的设置,但它是可选的(当与设置“security = ads”结合使用时)。
我的公司正在另一个国家开设新的网站。 我们将在那里安装新的服务器,我有一个我不能决定的问题。 我们应该在森林中创build一个新域吗?还是应该使用相同的域并实现一个新的域控制器,可能还有RODC? 两家公司是分开的,但是合作紧密。 而且我们也为他们pipe理IT,但是我不能排除他们长大后可能拥有自己的IT。 我们访问常见的networking共享,并可能使用位于两家公司的资源。 另外,我们的一些用户经常从一家公司旅行到另一家公司。 我在一个新领域看到的优势主要涉及到一个更加整洁的组织,在专职部门更好的pipe理,同时仍然保留使用来自森林的GPO的优势。 我build立了一个信任让用户访问不同领域的数据。 我看到的唯一缺点可能是在某些情况下不得不添加两个用户组,如果设置不正确,可能会出现与基于AD的软件有关的一些问题。 我没有这方面的经验,所以我想听听你的意见,也许可以帮助我找出问题的出现位置。
我有大约一百个DNS区域,我需要从非AD集成转换为AD集成。 我想用最less的停机时间做到这一点。 到目前为止,我的过程是: 更改一个DNS服务器(也是域控制器)上的DNS区域以便集成到AD中 从它是次要区域的DNS服务器(也是域控制器)中删除DNS区域 等待几分钟时间,将该区域复制到此站点的第二台服务器。 我们实际上有两个网站参与这个,所以我们必须等待更长的时间复制到第二个站点 有什么方法可以加速同一站点上的服务器和不同站点上的服务器之间的DNS复制? 我们有Server 2008 R2 DNS / DC,并且在2003域function级别。
出于pipe理的目的,我有时需要以其他用户身份login才能诊断帐户的问题。 我希望能够做到这一点,而不必更改密码,所以我不必打扰他们。 在Unix下,我可以保存passwd文件中的encryption密码,更改密码,然后将旧encryption密码编辑回密码文件。 在AD中有类似的方法吗?
在从Server 2003 / XP迁移到Server 2012/7的7个学校网站的过程中,希望得到一些有关多less个域控制器最佳的反馈。 目前我们有4个DC。 所有7个站点通过10GB光纤链路连接,因此我们完全集中(所有服务器都在主办公室)。我们支持约1800台PC / 3000用户。 我们目前运行Exchange 2007,但将迁移到Office 365。 谢谢!
我们遇到了一个问题,我们的OS X Lion机器将不断为目录中的每个用户查询Active Directory 2008,直到用户login到计算机。 当用户login到机器时,连续的,昂贵的查询停止。 一旦用户注销,问题查询就会重新开始。 这是域控制器(DC)上的重要负载,并触发DC上的现场工程5事件。 我们不使用OS X Server Lion。
默认情况下,ADFS 3响应包含“X-Frame-Options:DENY”HTTP标头。 这可以防止ADFS在iframe中运行,因为这提供了点击劫持攻击的机会。 目前我的公司正在实现一个集成,这个安全规则应该是一个例外:某个域上的页面应该能够将ADFSembedded到iframe中。 但似乎ADFS不允许改变这个开箱即用的方式。 那么修改这个HTTP头的最好方法是什么? 例如RFC( https://tools.ietf.org/html/rfc7034#section-2.3.2.3 )中所build议的? 想要在帧中呈现所请求的内容的页面将其自己的起源信息提供给提供要经由查询string参数成帧的内容的服务器。 服务器validation主机名是否符合其标准,以便允许页面被目标资源框起。 例如,这可以通过查找被允许构build页面的可信域名白名单来实现。 例如,对于Facebook的“Like”button,服务器可以检查提供的主机名是否与该“Like”button所期望的主机名匹配。 如果在步骤#2中符合适当的条件,则服务器返回“X-Frame-Options:ALLOW-FROM”中的主机名。 浏览器强制执行“X-Frame-Options:ALLOW-FROM”标题。