Articles of 主动目录

托pipe环境中的域

我们有一个应用程序,我们为客户在第三方数据中心托pipe。 我们有多个客户机在多个服务器机架上运行相同的应用程序。 我们的大多数客户要求我们的服务器符合SAS​​70标准。 目前,每个服务器都有自己的一组用户和需要configuration的安全设置。 我们正在创build脚本来执行此操作,但将用户pipe理和组策略中的所有服务器join域以执行安全设置的风险/优势是什么? 有些人的理性是,如果DC被黑客攻击,整个networking就会受到危害,好像一个独立的托pipe服务器被黑客攻击一切都应该是安全的。

在环境之间创build信任

我一直是一个完全分离所有环境的证书环境的倡导者。 最近我被要求考虑在我们的产品和非产品Active Directory环境之间build立信任关系的后果,例如一个产品ID可以pipe理DEV和QA环境,但是反过来却不行。 我理解这样做的技术细节,但从最佳实践的angular度来看,我觉得不对。 目前有没有人在生产环境和非生产环境之间有一种信任pipe理的方式? 你有没有遇到问题或原因不这样做?

是否有可能在我的networking之外进行我的ADlogin身份validation?

我们用2003R2运行一个AD。 我正在执行Google Directory Sync,之后计划与Google Apps一起使用SSO,并计划将所有3个世界网站连接起来。 就这样发生了,今天,我们的防火墙(Fortigate)停止工作(它发生在午夜)。 这让我想到,我不能指望SSO能够工作,而且如果我的AD /networking/防火墙closures了,那么没有人可以login来阅读他们的邮件。 真的吗? 在这种情况下,我可以将我的ADauthentication/凭证从我的公司带到第三方吗? 如果是的话,有什么影响? Pro的? 反对的? 这将如何影响我的主要内联网? (总部有60名员工+服务器) 谢谢

试图安装lync 2010,并遇到中央pipe理存储的错误

我试图安装Lync 2010,我陷入了我必须安装或指向本地configuration存储的阶段。 我已经尝试在域中find它,没有运气,任何build议? PS C:\Users\Administrator.ASUTA> Get-csconfigurationstorelocation WARNING: No Configuration Store location has been set. PS C:\Users\Administrator.ASUTA> Get-CsComputer "$env:computername.$env:userdnsd omain" Get-CsComputer : Cannot find location of Central Management Store in Active Dir ectory. At line:1 char:15 + Get-CsComputer <<<< "$env:computername.$env:userdnsdomain" + CategoryInfo : ResourceUnavailable: (:) [Get-CsComputer], Manag ementStoreNotFoundException + FullyQualifiedErrorId : ManagementStoreNotFound,Microsoft.Rtc.Management .Xds.GetComputerCmdlet PS C:\Users\Administrator.ASUTA>

dnslint和redadmin,为什么和什么时候?

一个非常小的查询真的 – dnslint和repadmin – 真正区分这些工具在复制疑难解答方面? 何时以及为什么要使用其中之一。

域控制器随机丢失主要function

我有一个奇怪的场景正在进行,2个不同的站点上的2个域控制器通过BOVPN进行通信。 随机地,主服务器(名为SERVER)将不再能够parsingDNS,即使打开Active Directory也会失败,说明它无法联系DNS服务器。 Site1 = SERVER Site2 = FSSERVER Site3 = SERVERFS but this has been decommissioned and removed from AD 关于它的奇怪的部分是,我能够远程从外部来源仍然从这个服务器,我能够通过IP到站点2 ping仍然。 解决方法是重新启动服务器,但这并不理想,它是一个小型企业服务器2008年,这是从dcdiag的输出: Directory Server Diagnosis Performing initial setup: Trying to find home server… Home Server = SERVER * Identified AD Forest. Done gathering initial info. Doing initial required tests Testing server: Downtown\SERVER Starting […]

使用icacls设置遍历/执行没有设置更改权限

我在networking共享中遇到问题。 特别是在Mac客户端访问NAS上的家庭共享。 该修复程序已经删除了Library文件夹的某些权限。 在过去,我用set-acl来设置本地安装的驱动器上的acls,但是与QNAP NAS我有set-acl不起作用,所以我坚持icacls。 我试图授予用户特定的权限。 基本上是完整的,但没有“更改权限”或“取得所有权” 我以为: icacls $ folderpath / grant:(OI)(CI)(GR,WD,X) 会做到这一点。 当然使用:(OI)(CI)(GR,WD)除了遍历/执行外,还提供了一切。 但是,添加X会导致完全执行。 如果我试图拒绝权限(WO,WA,WEA),那么我会得到很多的成功响应,但在实际的ACL没有变化。 有一个我在这里失踪的技巧? 我可以手动授予最终的遍历/执行权限,但手动正是我不想要的! 这是QNAP的特质吗?

活动目录域命名

规划一个新的域名,我不断看到,最好的做法是在我们的公共注册域名的子域名后面命名森林/域名。 所以,如果我们公开拥有和使用company.com,我们应该使用ad.company.com为我们的AD DS域的效果。 我为此收集的原因是: 为了避免分裂angular色的DNS 为避免“www”访问www.company.com上公开托pipe的网站的要求。 但是,我看到的问题是,无论用户是现场还是非现场,连接到资源的方式都不相同。 所以,除非我错过了一些东西,当在局域网上连接到公共的“webapp-1”时,用户将使用webapp-1.ad.company.com,而在非现场时则是“webapp-1.company.com”。 大多数环境是否在路由器上使用头发定位,以便用户永远不要使用内部域来访问资源? 依靠search域名? pipe理拆分DNS不会打扰我,“www”不是一个大问题。 有人能把这些东西放在一起,解释我错过了什么吗? 我想我可以忽略一些显而易见的东西。

FQDN IP地址在Windows Server 2012上消失,因此DC不起作用

我们有一个服务器,作为DNS,域控制器和Active Directory服务器。 (Windows Server 2012) 问题是,join到域的计算机失去连接,所以他们无法login或无法find活动目录。 我们发现完全限定域名(FQDN)IP地址最终消失(取<Unknown>值)。 请看图片: 此外,我们发现问题已经解决(只是暂时的),通过服务器机器IP地址更改FQDN IP地址,并且清除join到域(ipconfig / flushdns)的所有计算机上的DNS。 但是这个解决scheme只能工作几分钟,因为FQDN的IP地址会再次丢失。 (这可能是一个很好的解决scheme吗?) 什么可能是这种情况的问题? 和, 什么可能是解决scheme? 谢谢。 编辑1 **Server IP Address** 169.250.0.1 DNS Server 169.250.0.1 dcdiag / q输出 An error event occurred. EventID: 0xC004000B Time Generated: 12/02/2015 10:09:20 Event String: The driver detected a controller error on \Device\Harddisk2\DR5. An error event occurred. EventID: 0xC004000B […]

使用NGINX进行API用户和Web用户的AD身份validation

我们目前使用NGINX服务器作为各种服务和应用程序的反向代理。 它正在处理和代理我们创build的Web应用程序的stream量,一个API代理服务器,以及一个单独的程序化API。 下面是一个示例代码示意图,显示代理的资源。 ​ foobar.com |-foobar.com/api |-foobar.com/webapp |-foobar.com/proxy 我们拥有一个具有单点loginfunction的公司AD系统。 我试图将这个与NGINX反向代理整合,以在NGINX后面访问这些服务中的一个或多个服务时validation用户。 我已经看到像https://www.nginx.com/blog/nginx-plus-authenticate-users/这样的post描述了如何让NGINX通过让用户填写login表单来使用AD身份validation,但是这不适用于我们的用例。 这是因为其中一些用户将通过HTTP CRUD操作和/或curl命令与API服务和代理服务进行交互。 另外,这些API和代理用户可能属于其他应用程序而不属于人类。 从这个意义上说,他们完全是程序化的交互。 我如何configurationNGINX来支持人性化和程序化的ADauthentication?