注意 – 我知道AD命名有很多问题。 我不相信这是一个重复的问题。 如果是这样,请把我连接到相关的一个:)。 我们正在实施AD。 我们的大问题是域名。 我们已经在阅读了很多文章并与人交stream之后(我们现在是70/30 Mac)已经决定了。 我们正在设法弄清楚,我们是否应该使用ourdomain.com或corp.ourdomain.com作为我们的域名。 我们知道,如果我们去了ourdomain.com,那么如果人们没有预先loginwww,我们就会有潜在的问题。 到我们网站的url,我们愿意接受。 我们担心的是,如果还有其他的后果,我们不知道。 例如,如果我们的Exchange服务器托pipe在不属于局域网一部分的数据中心中,是否会遇到与DNS有关的问题? 概述我们有什么 – 我们的网站托pipe在一个外部数据中心,我们目前使用Google Apps,但计划迁移到Exchange(是的,我们知道这是逆势而行),也可能托pipe在数据中心或现场。 我们还广泛使用我们的UTM防火墙VPN,并在扩大规模时考虑思科VPN或Citrix解决scheme。 还有计划build立Windows分布式文件共享,并可能使用Centrify或Extreme-Z IP,如果我们发现原生Mac集成缺乏。 我们还计划使用AD作为身份validation的主干,使用它作为RADIUS和LDAP服务,用于跨内部Web应用程序和无线的身份validation和angular色pipe理。 我们看过http://msmvps.com/blogs/acefekay/archive/2009/09/07/what-s-in-an-active-directory-dns-name-choosing-a-domain-name.aspx,但我希望能够获得一些精通维护AD的人的最新信息,特别是在混合/分布式环境中。
我有一个Ubuntu服务器,能够validation用户对我们的域名。 我不能联系谁设置了这个,但我find这些包安装: libaprtil1-ldap libldap-2.4-2 samba 我们的服务器在这一点上花了很长时间来validation任何用户。 我相信是因为我们的一个区议会几个星期前被禁用了。 这会导致许多程序在成功validation之前用于超时。 我不想卸载任何东西,因为我不想为我们的pipe理员做更多的工作。 我只是需要一些build议,我可以如何禁用这一点,直到事情得到解决。
有一件事让我非常恼火,关于pipe理Windows域的工作主要是从有限的用户帐户开始工作。 我每天在工作站上做的大部分工作并不需要pipe理员权限,所以为了安全起见,我更愿意以有限的用户身份运行。 当然,这个问题是我必须做域pipe理员的时候。 使用Windows Vista“快速用户切换”终于在域中的机器上工作,但我遇到了一些问题:1)切换速度慢2)大约五分之一的时间切换用户帐户会导致Vista忘记我的显示设置到无法重新启动而无法恢复的地步。 好玩的东西。 通常情况下,我只需要一个文件浏览器以提升的权限运行,就好像没有办法以这种方式运行资源pipe理器实例(通过Runas)。 它也似乎通过IE浏览文件现在只是运行一个资源pipe理器进程,因此受到相同的方式。 我已经通过Sysinternals ShellRunas运行FreeCommander来达到这个目的。 这只是一个不好的经验。 我会杀了更接近sudo的东西。 我完全错过了一些明显的东西?
我有虚拟中心,pipe理几个ESX主机,我想join到我的Active Directory域。 做这件事时应该考虑什么? 我有什么理由避免这种情况? 我相信这将使虚拟中心的用户pipe理变得更加容易。
我一直在使用Get-ADUser和Get-ADComputer来帮助解决系统中的问题。 我已经看到通过registry, PsLoggedon.exe和其他脚本识别哪个用户login到特定机器上的几种方法,但是由于我不是一个真正的networkingpipe理员,我经常被拒绝访问。 这很好,因为我挖掘深度并不是很有趣。 我所需要的只是以某种方式确定哪些用户在计算机上拥有帐户(configuration文件)(或者哪些机器有用户帐户),以便我们可以联系他们并在他们的IP地址发生exception时帮助他们。 这两个对象之间是不是完全没有关系?
这是有关Active Directory DNS设置的典型问题 。 有关: 什么是Active Directory域服务,它是如何工作的? 假设一个具有多个域控制器的环境(假设它们都运行DNS): DNS服务器应该按照什么顺序列在每个域控制器的networking适配器中? 127.0.0.1是否应该用作每个域控制器的主DNS服务器? 它有什么区别,如果是的话,哪些版本受到影响,以及如何?
我们尝试为公司范围的身份validation设置Active Directory服务器。 一些应该对AD进行身份validation的服务器放置在DMZ中,因此我们考虑使用LDAP服务器作为代理,以便DMZ中只有一台服务器必须连接到放置AD服务器的LAN )。 用一些Googlesearchfunction来configurationslapd是没有问题的(参见下面的slapd.conf),而且在使用ldapsearch工具时似乎可行,所以我们试图在apache2 htaccess中使用它来通过LDAP代理对用户进行身份validation。 问题来了:我们发现AD中的用户名存储在属性'AMAccountName'中,所以我们在.htaccess中configuration了它(见下文),但login无效。 在系统日志中,我们发现ldapsearch的filter不是(它应该是)' (&(objectClass = *)(sAMAccountName = authtest01)) 'but' (&(objectClass = *)(?= undefined))我们发现这是slapd的方式来显示该属性不存在或值在语法上是错误的这个属性。 我们想到了一个丢失的模式,并find了microsoft.schema (和它的.std / .ext文件),并试图将它们包含在slapd.conf中。 哪个不行 我们没有find工作模式,所以我们只是select了关于sAMAccountName的部分,并构build了一个包含我们的microsoft.minimal.schema(见下文)。 现在我们在syslog中获得更精确的日志: Jun 16 13:32:04 breauthsrv01 slapd[21229]: get_ava: illegal value for attributeType sAMAccountName Jun 16 13:32:04 breauthsrv01 slapd[21229]: conn=0 op=1 SRCH base="ou=xxx,dc=int,dc=xxx,dc=de" scope=2 deref=3 filter="(&(objectClass=\*)(?sAMAccountName=authtest01))" Jun 16 13:32:04 breauthsrv01 slapd[21229]: conn=0 op=1 […]
我们在单独的森林中有两个域,需要合并/迁移它们。 我相信使用ADMT进行简单迁移将会移动所有本地用户configuration文件,而不会成为问题。 潜在的问题是domain2中的所有用户在domain1中拥有相同的用户帐户(相同的用户/密码),以便他们可以拥有交换邮箱。 如果我们使用ADMT进行迁移,我们是否会遇到任何问题,因为用户需要合并,而计算机和本地configuration文件需要迁移?
有没有人有经验堵塞GlusterFS和Openfiler在一起或类似的东西 ? 这是动机: 多个服务器上的磁盘空间使用GlusterFS重新组合 使用LDAP / AD集中访问和使用Openfiler作为GlusterFS客户端的配额pipe理 SMB / CIFS服务器,便于在Mac和Windows上共享多个用户 我知道我可以在Openfiler(rPath Linux)上成功安装Gluster,但是Openfiler似乎对可用作共享驱动器的内容非常挑剔。 将Gluster卷安装到现有共享中似乎不允许使用已安装文件夹的可用空间进行配额。 如果这是不可能的,是否有其他select来提供相同的function?
我有一个孤立的networking,我已经build立了一个vfiler。 这个networking的重点是它是一个非路由“testing”networking。 但是,需要通过域级帐户对文件pipe理器进行LDAP / Kerberos和CIFS访问。 所以我们有部署只读域控制器。 要将Windows盒子joinRODC,我们将: 手工创build一个机器账户。 join域,并在客户端指定机器账号密码。 一个谷歌search发现我: https ://kb.netapp.com/support/index?page = content & id =1012918 build议如下:首先手动将文件pipe理器指向可写入的DC。 我宁愿不这样做,如果我能避免它 – 我没有故意在这个networking上的可写DC。 更重要的是 – 我的虚拟现实是在一个空间,所以我甚至不能暂时“跳过”到正确的访问networking。 (这是我猜想的点,但即使如此…) 有没有人有一个build议,我怎么能做到这一点 – 我假设我可能需要从我的DC提取一些信息,并将其传递,如servicePrincipal。 或者也许只是在某处手动“设置”我的CIFS密码。