首先,我不是现场的ADpipe理员,但是我的经理要求我尝试让我的个人Redmine安装与ActiveDirectory集成,以便对其进行大规模部署testing。 我们的AD服务器在主机:端口ims.example.com:389 ,我有一个用户IMS/me 。 现在,我也有一个使用本地身份validation的Redmine用户。 我在RedMine中使用以下参数创build了ActiveDirectory LDAP身份validation方法: Host: ims.example.com Port: 389 Base DN: cn=Users,dc=ims,dc=example,dc=com On-The-Fly User Creation: YES Login: sAMAccountName Firstname: givenName Lastname: sN Email: mail testing这个连接工作得很好。 但是,我没有成功通过身份validation。 我已经创build了一个备份pipe理员用户,这样我可以返回到me帐户,如果我打破了事情,然后我试着改变me使用ActiveDirectory凭据。 但是,一旦我这样做,没有任何工作login。我已经尝试所有这些login名称选项: me IMS/me IMS\me 我用我已知的域密码,但没有喜悦。 那么,我有什么设置错误,或者我需要获得哪些信息才能完成这项工作?
我需要创build一个包含打印机的Active Directory实验室,并testing各种与打印机相关的function(在AD中添加打印机,连接到打印机,打印机等的客户端) 有没有一种好方法来正确模拟networking上的打印机? 或者是否需要真正的物理打印机,最终被连接,即使没有输出。 你将如何解决这个问题?
当用户因任何原因(读取:过期)更改其帐户密码时,旧密码将存储在通过EAS连接的移动设备中。 这将导致他的账户几乎立即被locking – 正如根据AD所定义的locking政策。 很容易弄清楚这一部分。 困难的部分是阻止它发生。 我到处看。 没有。 基本上有四个部分:EAS设备,TMG(ISA)服务器,EAS协议,最后是AD。 他们都没有办法阻止EAS设备无法authentication。 所以我想我必须拿出一个聪明的解决方法。 我唯一能想到的是为所有EAS用户创build一个组,并将其从locking策略中排除,这明显违背了策略的整体目的,或者教育用户使用新密码更新设备,这是不可能的。 问题:你能想出其他方法来阻止EASlocking账户吗? 环境:大部分iOS设备都通过EAS。 TMG 2010. Exchange 2007 AD 2008 R2。
我们目前在专门的h / w上在本地托pipe我们自己的域控制器(小公司)。 但为了减轻灾难,我们正在考虑使用虚拟化和云托pipe。 一个想法是 在云中托pipe的虚拟主域控制器+在办公室中运行的本地(辅助)虚拟化服务器作为caching? 这是可能的还是我应该考虑别的? 我们很高兴支付体面的托pipe和DR,但这是真的超出我的经验。
这是我们情况的背景 目前,我们设置了三个完全不同的Active Directory和Exchange系统。 三个办公室(一个在美国,两个在欧洲)通过三路VPN连接(所以每个办公室都与另外两个办公室保密通信)。 Active Directory中为每个设置都设置双向信任关系。 所有系统都运行Server 2003和Exchange 2003。 公司和80个用户之间大约有160个邮箱(额外的邮箱用于IT子系统,转帐或其他用途)。 这些公司正式合并在一起(而不仅仅是build立信任关系)。 所以我们正在研究一个综合的解决scheme(基于一个新的名字),每个办公室将在同一个系统上(Exchange和Active Directory)以及整合我们的IT基础设施(有很多重复)。 他们聘请了一家外部公司来审计我们的IT基础设施。 他们已经提出了一个正式的build议,将IT基础设施外包(猜猜他们想要提供服务)。 我一直负责搞清楚该怎么做。 我已经想了很多,我提出了两个select。 基本的区别在于托pipeExchange(在我们的外包)。 由于外包很容易理解,所以我将详细介绍内部设置。 由于需要高可用性,所以我们需要一些内置的地理冗余。所以,我想到了如下(我将打电话给办公室Site1,Site2和Site3): 站点1: FSMO Active Directoryangular色 Exchange邮箱angular色 – 主要 Exchange客户端访问,集线器传输服务器angular色 DFS文件共享angular色(对于共享驱动器) 站点2: Active Directoryangular色 – 从Site1复制 Exchange邮箱angular色 – 辅助,使用CCR复制进行复制 Exchange客户端访问,集线器传输服务器angular色 DFS文件共享angular色 Site3: Active Directoryangular色 – 从Site1复制 Exchange客户端访问,集线器传输服务器angular色 文件共享见证(用于故障转移) DFS文件共享angular色 所以基本上,集群应该能够在单个站点故障的情况下生存下来,而不会closures任何其他站点(或任何系统)。 如果发生双重网站故障,Exchange将完全停止。 所以,我的担心如下: 这是一个合理的设置? 还是我过分复杂的事情? 所需的服务器数量(每个站点3个,因为CCR邮箱angular色必须是唯一安装的angular色)。 它会甚至像summized一样工作(如果站点或服务器停止运行,它将自动故障切换到可用节点)? 由于每个办公室都会为其用户指定一个本地客户端访问服务器,因此该服务器成为所有本地请求的单点故障(但这可以通过手动DNS更改来解决) […]
我在Windows Server 2003盒子上有一组私人的Subversion版本库,开发者通过svn://协议通过SVNServe访问。 目前我们一直在使用每个版本库的authz和passwd文件来控制访问,但是随着越来越多的版本库和开发人员的使用,我正考虑从ActiveDirectory中使用他们的证书。 我们运行在所有的微软商店,在我们所有的Web服务器上使用IIS而不是Apache,所以如果可能的话,我宁愿继续使用SVNServe。 除此之外,我还担心如何迁移存储库,以便现有用户的历史logging映射到正确的ActiveDirectory帐户。 请记住,我不是networkingpipe理员,我不熟悉ActiveDirectory,所以我可能需要通过其他人来获取在ActiveDirectory中所做的更改(如有必要)。 我有什么select? 更新1:从SVN文档看来,通过使用SASL我应该能够获得SVNServe使用ActiveDirectory进行身份validation。 为了澄清,我正在寻找的答案是如何去configurationSVNServe(如果可能)使用ActiveDirectory进行身份validation,然后如何修改现有的存储库,将现有的svn用户重新映射到他们的ActiveDirectory域login帐户。 更新2:SVNServe中的SASL支持看起来像一个插件模型,文档仅作为示例显示。 看着赛勒斯SASL库它看起来像一些身份validation“机制”支持,但我不知道哪一个将用于ActiveDirectory的支持,也不能find任何关于这些问题的文档。 更新3:好吧,它看起来像为了与ActiveDirectory通信我期待使用saslauthd而不是sasldb的auxprop_plugin属性。 不幸的是,根据一些post(可能已经过时和不准确), saslauthd并不是基于Windows开发的,这种努力被认为是一项正在进行的工作 。 更新4:我发现在这个主题上的最新post听起来好像正确的二进制文件()可以通过MIT Kerberos库,但它听起来像Nabble.com上的这篇文章的作者仍然有问题得到的东西工作。 更新5:它看起来像从TortoiseSVN讨论 ,也是这个职位svn.haxx.se ,即使saslgssapi.dll或任何必要的二进制文件可用和configuration在Windows服务器上,客户端也将需要相同的定制,以与这些存储库一起工作。 如果这是真的,那么只有在这些客户端(例如TortoiseSVN和客户端二进制文件的CollabNet版本)中进行了更改以支持这种身份validationscheme时,我们才能够从Windows客户端获得ActiveDirectory支持。 虽然这就是这些post所暗示的,但这与我原本从其他阅读中得出的结论相矛盾,因为与SASL兼容应该不需要在客户端上进行更改,而只需要设置服务器来处理authentication机制。 在Subversion第5部分关于Cyrus SASL的文档中,更仔细地阅读了一些内容后,他表示:“具有Cyrus SASL支持的1.5+客户端将能够在支持SASL的1.5+以上的服务器上进行身份validation,前提是服务器支持的机制至less有一个也得到客户的支持。“ 很明显,GSSAPI支持(我明白是Active Directory所必需的)必须在客户端和服务器中可用。 我不得不说,我对于Subversion如何处理身份validation的内部知识了解得太多了。 不幸的是,我只是在寻找一个答案,在Windows服务器上使用SVNServe并从Windows客户端访问这个服务器时,是否可以拥有Active Directory身份validation支持。 根据官方文件,这似乎是可能的,但是你可以看到,即使可能,configuration也是不平凡的。 更新:6:由于在Subversion 1.7上的开发正在结束,有没有人可以添加Subversion 1.7是否会改善SVNServe使用Active Directory进行身份validation的情况呢?
我目前正在评估Server 2012作为Linux和Windows工作站和服务器的小型异构networking中的域控制器,所有这些都将最终join到域中。 这是一个100%的双栈networking; 每个设备都具有IPv4和IPv6连接。 路由器是运行radvd 1.9.1和其他各种必需品的Linux服务器。 我刚安装了第一个域控制器, 它的域名是ad.businessname.com (其中businessname.com是由外部DNS服务器处理;该域也有公共网站,电子邮件等,这些将不会被join到域)。 它是安装了AD DS和DNSangular色的服务器核心。 一切似乎都很好,我准备build立第二个DC,并开始join电脑,但… 现在我的networking上有额外的IPv6路由器广告,宣传唯一本地地址 。 它还广告实际路由器正在广告的本地IPv6前缀。 起初我以为这些RA是源自域控制器,因为它们在我closures时就消失了,但在运行Wireshark之后,我发现它们来自我的实际IPv6路由器。 Wireshark表明,这个版本的RA很快就会来自DC的fd4a:e7ab:34a5 :: 1的邻居请求。 奇怪的是,路由器也发送当networking域控制器不存在时通常发送的原始路由通告。 RA的这个版本匹配/etc/radvd.conf (副本如下)。 与Wireshark的快速会话证实,这两个版本的路由器通告都来自运行radvd的Linux路由器的MAC地址。 到目前为止,这些似乎无害,因为我的IPv6连接还没有被额外的RA的存在所中断。 但是由于我已经拥有全球的IPv6连接,所以ULA看起来没有必要和不必要。 我已经花了大量的时间和今天的互联网去尝试弄清楚发生了什么事情,但是除了暗示可能与IP助手服务有关的事情之外,没有什么可以解释的东西(模糊的警告不是把它关掉)。 但据我所知,当本地IPv6可用时禁用此服务应该是安全的。 所以我的问题是: 为什么Windows为ULAnetworking发送邻居请求? 为什么这些RA被发送,显然是作为回应? 为什么除了我的本地地址之外,他们还宣传ULA? 这不会导致以后的IPv6路由问题吗? 我必须忍受这一点,或者我怎样才能使Windows和RADVD的行为? 各种configuration信息如下: 这里是一个被发送的RA(如radvdump所示,比IMO Wirehark的输出更容易读取)。 你可以看到它是广告ULA和公共前缀(在这里模糊)。 当我closures域控制器时,这个版本的RA停止出现在networking上。 # # radvd configuration generated by radvdump 1.9.1 # based on Router Advertisement from fe80::20c:29ff:fef4:66f1 # received […]
相关: 如何在Windows 7 / 2k8上启用无线域名authentication? 为了testing通过无线连接function的域名login,我试图在上面的问题中设置,我需要一个没有在本地系统上caching域名凭证的账户。 不幸的是,在我的办公室里只有很多人可以帮我testing一下,即使这样,我也不想为此烦恼。 所以,我希望能够在每次login后清除自己的caching凭据。 如何清除本地caching,同时仍然保留将来caching凭据的function?
我想删除Windows域控制器的DNSfunction,并将DNS服务器指向我们的BIND9服务器。 我知道可以设置共存,但这需要一些额外的Windows DNS服务器,等于networking中的域控制器的数量。 活动目录需要_msdcs区域和_tcp,_udp; 等等 主要问题是:如何使BIND9处理所有这些AD具体数据? dynamic更新使AD更加快乐。 谢谢, PS:使BIND9指向Windows DNS服务器来parsingActive Directory特定区域不是一个选项。 我们已经这样做了… 编辑:如今天,我运行没有Windows DNS。 我正在编写关于如何做到这一点的指南,我将更新这个主题。
我是Powershell的新手,但是我一直在阅读手册并练习一下。 我的目标是列出指定path下所有安全组中的所有用户。 我find了办法: get-adgroup -Filter * -SearchBase "OU=Groups,DC=corp,DC=ourcompany,DC=Com" | %{Get-ADGroupMember $_.name} | ft name 但问题是我没有看到组名。 我得到的是一堆用户。 如果有人能告诉我如何在群组的所有成员上市之前显示群组名称,这将是很好的。 谢谢。