我试图Kerberize一个Apache服务器,并允许创build的服务器主体login到Active Directory。 我已经在网上提供了众多的教程之一,它似乎工作正常。 我在项目的Linux方面,企业IT在Windows方面。 IT为我提供了一个服务帐户和一个服务负责人。 在这个例子中,我将它称为HTTP/[email protected]。 他们为我提供了一个keytab文件,用于在AD服务器上运行一个名为ktpass.exe的工具。 我已经validation了AD / KDC的KVNO和keytab文件相匹配。 一切都很好。 主机名有一个合适的DNS Alogging,IP有合适的PTRlogging。 两台服务器都在同步。 我可以通过发行的keytab文件从AD / KDC申请上述服务主体的票据,如下所示: kinit -k -t http.keytab HTTP/[email protected] 这工作。 我获得一张票,我可以使用这张票来查询AD / LDAP目录。 keytab对于运行单点loginApache站点也很有效,这是本练习的目标之一。 半个小时过去了。 尝试使用上述kinit命令login失败,并显示以下消息: Client not found in Kerberos database 我无法validation服务主体,就好像委托人在AD服务器上被删除一样。 现在它变得很奇怪,至less对我来说: 通过请求,ADpipe理员再次运行ktpass.exe工具,为我的服务构build一个新的keytab文件。 KVNO(密钥版本号)在服务器上递增,导致我们的Apachetesting服务器停止validationKerberos单点login。 这与我目前的configuration预计。 令我们惊讶的是,现在kinit命令再次运行。 我们又买了半个小时,然后又停了下来。 我们的IT部门在这里处于亏损状态,他们猜测这是AD服务器本身的一个问题。 我想这是configuration,但据他们说,在他们的设置任何地方都没有半小时的限制。 我遵循http://www.grolmsnet.de/kerbtut/ (请参阅第7节),但是在我find的所有文档中,这个方法似乎是一样的。 我没有发现任何提及服务负责人的时间限制。 编辑:这似乎是一个复制问题。 虽然在复制过程中没有报告错误,但服务帐户的SPN值是从“HTTP/[email protected]”更改(恢复?)“[email protected] “30分钟后。
使用案例 :2FAlogin到Active Directory(例如login到AD上的公司桌面计算机) 期望的解决scheme :Google Authenticator风格,基于RFC的MFA系统。 这个path是引人注目的,因为它是基于RFC的,并被广泛用于基于互联网的应用程序,并且用户基础已经拥有并且始终使用它。 我们认为这将被内置到服务器2016年,但似乎不是? 终极梦想 :以这种方式,AD以2FA提升,其他我们使用AD作为目录的应用程序(我们希望)能够神奇地获得2FA的好处。 为了清楚起见 :我们不是试图使用谷歌(或其他)帐户login到AD。 我们正试图使用谷歌身份validation工具(或authy或任何其他实现该RFC的工具)将2FA添加到AD本身。 (我们使用谷歌身份validation与亚马逊AWS,和许多其他托pipe系统 – 每个系统都有自己的用户数据库。)例如,这不是面向Web面向OpenID等。 我们今天的立场 :今天,login到桌面和个人电脑是通过简单的简洁的密码。 但是有些工具(如我们的VPN服务器),使用AD进行身份validation并支持Google身份validation器。 我们希望物理login与VPN一样紧密(并使用类似的身份validation工具)。 目前的研究已经完成 有关于如何使用谷歌身份validation与Active Directory联合服务(AD FS)的TechNet文章: https : //blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords换多因子authentication在-AD-FS-3-0 / 奇怪的是,它似乎是一个开发项目,需要一些代码和自己的SQL DB。 我们在这里不是专门针对AD FS的。 我们正在寻找2FA的解决scheme,并支持内置于AD的Google Authenticator RFC。 对于Google身份validation器,AD是否有本地支持(到现在为止,2016 …)? 如果没有,是否在Server 2016中预期? (如果Win Server 2016select不支持最stream行的基于RFC的2FA,请帮我理解为什么MS会做出这样的决定?)
我有一个ASP.NET Intranet站点的开发副本签出并在本地计算机上运行。 我们正在使用摘要身份validation来允许用户使用其活动目录帐户login。 在我的开发副本上,摘要有时会重复提示login信息,通常每页请求约9次。 在重复login后(也可以取消9个提示中的8个),我可以正常使用该网站。 我无法确定是什么触发了这个问题。 有时这个问题会在下一个页面请求时触发,有时在我编辑/保存/刷新页面之后,有时甚至根本不会发生。 每个提示都会触发事件查看器中的多个login(事件ID 4624和4672)安全事件。 在每次login事件爆发后不久,我会看到一连串的注销事件(事件ID 4634) 有一个几乎相同的设置(Windows 7,IIS 7)的同事没有遇到此问题。 我们的生产副本(运行在不同的服务器上)也不会遇到问题。 我们试图比较我们在IIS中的设置,而不是真的find任何区别。 我正在使用铬,但我遇到了其他浏览器的问题。
正如您可能知道的那样, 回送处理是Active Directory组策略的一项function,它将GPO中的用户设置应用于任何loginGPO范围内的计算机的用户(而标准行为仅适用于用户帐户实际上位于GPO的范围内)。 当您希望所有login到特定计算机的用户都可以接收某些用户策略时,这非常有用,无论他们的用户帐户实际位于AD中。 问题是:启用了回送处理时,包含用户设置的GPO将应用于使用这些计算机的所有人 ,并且您无法通过在GPO上使用ACL来绕过此操作,因为它实际上并未应用于用户 ,而是应用于计算机 。 问题:如何避免回送处理被特定的用户需要login到这些计算机,但不应受制于这些策略设置? 例如,有几台terminal服务器,在这些服务器上,使用环回处理的GPO被用来对所有login到其上的用户实施严格的用户限制(他们基本上只能运行一大堆公司批准的应用程序)。 但这甚至适用于域pipe理员 ,因此无法启动命令提示符或打开任务pipe理器。 在这种情况下,如果用户login属于特定组(如Domain Admins),如何告诉AD不执行这些设置? 或者,即使是相反的解决scheme(“仅将这些设置应用于属于特定组的用户”)也可以。 但是,请记住,我们正在讨论这里的环回处理 。 这些策略适用于计算机 ,并且其内部的用户设置仅适用于用户, 因为他们正在login到这些计算机 (是的,我知道这是混乱的,回环处理是正确地使用组策略的最棘手的事情之一)。
首先,有没有人configurationISC绑定9.5.0或更高的支持GSS-TSIGdynamicDNS更新并得到它的工作? 如果是这样,那么用什么configuration来实现呢? 我觉得接近这个工作。 我发现在与Active Directory DC和BIND DNS服务器进行TKEY协商的过程中,GSS信任传递没有明显错误: 客户端192.168.0.30#52314:查询gss cred:“DNS/[email protected]”,GSS_C_ACCEPT,4294967256 gss-api源名称(accept)是[email protected] process_gsstkey():dns_tsigerror_noerror客户端192.168 .0.30#52314:发送 但是,更新发送时,它被拒绝: 客户端192.168.0.30#58330:更新客户端192.168.0.30#58330:更新区域“example.com/IN”:更新失败:被安全更新拒绝(REFUSED)客户端192.168.0.30#58330:发送 有没有人在现实世界中有这样的工作?
我在Windows Server 2008上有一个域控制器。当我设置我的用户时,我给他们全部一个虚拟密码,“必须在下次login时更改”。 每个人的机器都与域控制器在同一个networking上,但是我们并不强迫他们将他们的计算机join域。 DC有一个网站,要求使用域帐户来访问它。 如何告诉我的用户更改他们的域名密码,而无需将他们的PC连接到域或使他们login到域上的一台机器? 我不想要在每个客户端上安装任何东西以允许他们更改密码(我有一个密码过期策略)。 大多数这些工作站是XP。
我在现有的Active Directory林中设置了多个子域,并且正在寻找一些传统智慧/最佳实践指导,用于configuration子域控制器上的DNS客户端设置以及DNS区域复制范围。 假设每个域中都有一个域控制器,并且假定每个域控制器都是域的DNS服务器(为了简单起见),子域控制器应该只指向DNS本身,还是指向某个组合(主VS.次)本身和父域或根域中的DNS服务器? 如果存在父级>子级>孙级域分层结构(具有连续的DNS名称空间),那么应如何在孙子DC上configurationDNS? 关于DNS区域复制范围,如果在域中的所有DNS服务器上存储每个域的DNS区域,那么我假设从父项到子项的DNS委派需要存在,并且从子项到父项的转发器需要存在。 有了父级>子级>孙级域的层次结构,那么每个子级都会转发到直接父级区域的直接父级还是转到根级区域? 代表团是出现在直接的父母区还是根区? 如果在森林中的所有DNS服务器上存储所有的DNS区域,是否就复制范围没有提出上述问题? 复制范围是否对每个DC上的DNS客户端设置有一些影响?
我读过一些声称使用Active Directory用户主目录属性来自动映射主驱动器的文章是一种传统方法,不build议使用,或者不推荐使用。 我链接的第二篇文章给出了一些很好的理由,为什么不build议这样做。 但是,我已经search了高低,并没有find任何正式的微软文章给出这个build议。 看起来官方的立场仍然是要么使用主目录属性,要么使用文件夹redirect。 以下是2013年的一篇文章 ,其中,Microsoft MVP仍然使用主目录属性练习,在“脚本人”认可的文章中。 有没有人知道这个历史,并可以提供一个更“官方”的build议的链接是否通过GPO映射家庭驱动器现在是最好的做法,通过使用主目录属性? 或者这是在实践中被采用但从未正式认可的东西? 如果是后者,是否有任何function由于不使用主目录属性而丢失?
公司政策要求每个服务器都有一个pipe理员分配。 此信息正被保存在“计算机对象”的“由…pipe理”字段中。 在通过AD域填充的SCOM中创build一个dynamic组是非常有用的。 我的问题在于此。 我已经尝试了很多步骤。 1.为Windows-Computer目标创build一个“由…pipe理”的属性。 该属性由具有SELECT * FROM DS_computer属性的WMI查询SELECT * FROM DS_computer DS_managedBy 。 2.用dynamicfilter创build一个组。 (Object is Windows-Computer_Extended AND (Managed by Equals usr) AND True) 现在这在理论上似乎是合理的,但显然根本不起作用。 这实际上是可能的,我想创build? 我如何解决这个问题?
执行LDAP绑定到活动目录服务器需要什么权限? 我有一个中央域(称为MAIN),对其他森林中的域具有双向信任(称之为REMOTE和FARAWAY) 使用MAIN \ myaccount作为用户名和我的密码,我可以绑定到REMOTE罚款,但不是FARAWAY; 我得到一个无效的凭据回应 80090308: LdapErr: DSID-0C09030B, comment: AcceptSecurityContext error, data 525, v893 在所有其他方面,信托似乎运作良好。 我需要检查什么权限才能找出绑定失败的原因? 我的理解是,authentication用户中的任何人都应该能够绑定到LDAP,但是这似乎只适用于一些domaians,而不是其他人。