我正在开始一个安全项目,其中包括为我的公司设置一个域控制器。 我有几个问题: 在networking上拥有域控制器时是否需要代理? 域控制器和防火墙之间是否存在交互? 如果是这样,这些交互是什么? 如何pipe理去客户网站的人的笔记本电脑? 有一个域控制器时使用Outlook是否有任何影响?
我们希望来自新收购的公司(域名b.com)的用户能够通过Active Directory向域名a.com中的我们的帮助台系统进行身份validation。 我们没有一个点到点的VPN到新的位置,我们不打算有一个。 两家公司都使用静态IP来访问Internet。 在这两个域中,DNS服务器都是域控制器。 我需要打开/转发的端口上的任何指针,以便我可以在两个域之间创build信任,以便新用户可以对我们的帮助台系统进行身份validation?
目前我们发现错误是由安全问题引起的。 旧的服务器ServerA设法与WebServerC通信没有问题,现在新的服务器ServerB可以连接,但是提供的凭证不足以访问具有Web服务的WebServerC。 ServerA – > WebServerC(连接正常,安全性正常) ServerB – > WebServerC(连接正常和安全失败)而不是显示Web服务它显示asp.net“login”屏幕。 这一切都在Windows Server 2008的企业Active Directory之下。可能是什么问题? ServerA没有什么特别的,ServerB是新的,但运行的App是一样的。
TLDR 如何将TeamViewer设置为仅允许通过Windows( 域控制器 )进行身份validation的login,同时禁止其他任何login方法? 我最近开始了一个系统pipe理员的工作,很多时候使用TeamViewer。 另一位pipe理员最近离开了,由于TeamViewer的工作原理,他们仍然可以访问我们所有的系统。 我想将整个环境迁移到域authentication。 该文档显示,设置Windows身份validation(域)很容易,但我想确保这是在此处使用TeamViewer会话进行身份validation的唯一方法。 我还找不到任何明确的说明。 我认为,我们拥有TeamViewer 5和6的许可。 现在我们在环境中有7个,但是我认为大多数都在试用版,所以我很可能会回到5或6。
我有一个web应用程序(使用Zend Framework – PHP构build),运行在需要在Windows服务器上针对Active Directory进行身份validation的Linux环境中运行。 到目前为止,我的webapp可以用LDAPS进行身份validation,但不能执行任何types的写入操作(添加/更新/删除)。 它只能读取。 我已经configuration我的服务器,如下所示: 我已将Windows证书从我的Windows AD服务器导出到/ etc / opendldap / certs 我已经使用openssl创build了基于此证书的pem文件 我有更新/etc/openldap/ldap.conf,以便它知道在哪里寻找pem证书: TLS_CACERT /etc/openldap/certs/xyz.internal.pem 当我运行脚本时,出现以下错误: 0x35 (Server is unwilling to perform; 0000209A: SvcErr: DSID-031A1021, problem 5003 (WILL_NOT_PERFORM), data 0 ): 我错过了什么与我的configuration,这是导致服务器拒绝更新到AD?
注意:错误的假设 事实certificate,VPNconfiguration为将所有名称查找redirect到不同的服务器。 所以问题不在于Windows DNS,而在于VPN网关。 原来的确信 我有一个远程networking10.12.0.0/16与Windows域控制器(SBS 2011)和VPN网关。 某些Windows PC(无域成员)使用l2tp VPN连接到SBS。 它在10.14.0.0/24中获得一个虚拟IP。 VPN网关是SBS的默认网关和两个networking之间的路由。 SBS和客户端可以互相ping通。 域控制器拥有Active Directory域company.local 。 如果我在SBS上查找它,它将被正确parsing为SBS的IP。 来自VPN网关的查询也起作用。 但是客户端的nslookup company.local 10.12.0.5 (以后是SBS IP)将会回应没有find该域。 通过VPN网关上的tcpdump,我可以看到SBS确实返回了NXDOMAIN 0/0/0 。 正如你可能已经猜测的目标是join与VPN连接的计算机域。 为什么DNS服务器不能返回正确的Alogging? 我唯一的想法是,查询来自一个未知的专用networking。 更新01 来自客户端计算机的完整查询: C:\Users\abc>nslookup -debug company.local 10.12.0.5 ———— Got answer: HEADER: opcode = QUERY, id = 1, rcode = NOERROR header flags: response, auth. answer, want recursion, […]
我们正在考虑将60多个子域中的35k用户迁移到父域(root)域。 我们能够使用ADMT迁移用户。 用户可以随后使用其根域凭据login,一切正常。 但是,我们有很多用户只能通过VPN连接。 我们正在使用基于用户证书的VPN。 用户必须先使用来自传统域的caching凭据login到工作站,然后才能build立到公司networking的安全连接(通过用户证书对VPN端点进行身份validation)。 我们能够将用户迁移到父域。 只要客户端没有连接到DC,用户就可以使用他的caching凭据login,甚至可以启动VPN连接。 在这一点上,他将不得不注销,然后用他的新(根)域凭据login。 但是,一旦他注销VPN隧道终止,用户无法对根域的DC进行身份validation。 如果没有第一次身份validation,就没有可存储在客户端上的根域的caching凭据,我们又回到了开始阶段。 不幸的是,VPN客户端不能以允许用户注销并保持build立VPN隧道的方式进行configuration。 我们也试图做一个“runas”或“切换用户”,但它不会工作。 有什么build议么? 我希望我清楚,如果不让我知道,我会很乐意详细说明。
我们正在使用Powerbroker open(7.1版)将Active Directory用户authentication到我们的Oracle Linux(V6.4)(服务器。 我有一个用户“Joe Blow”,他今天被添加到Active Directory组“unix_xyz”中。 (用于xyx应用程序的用户)。 我想validationJoe在linux服务器上正确显示,所以我运行了PB实用程序list-by-user来validation。 小组没有出现在Joe的小组成员名单中。 我检查了域中的第二台服务器。 乔的小组成员显示正确。 我已经运行了“枚举组”实用程序来查看服务器是否在AD域中看到该组。 这是可见的。 第二个用户同时添加相同的组列表正确。 我已经删除了几次有关用户的powerbrokercaching,并重新启动了lwsmd守护进程几次无济于事。 有谁知道通过再次强制乔的凭据的方式,所以他的团队成员正确地看到? TIA Dave
我们有3个区域。 其中一个区议会在两周前去世(不会启动)。 我们执行元数据清理以从AD中删除旧的DC。 然后我们用一个新的名字(我们使用相同的IP地址)build立一个新的DC。 最初的DNS复制function正常。 但是,两周后,我们发现其他DC上的新DNS条目不会复制到这个。 我们在这个DC和其他DC上运行了“repladmin / showrepl”。 在新的DC上,repladmin说所有最近的复制都很顺利。 但是,在其他DC上,复制到新DC失败,导致错误8524“由于DNS查找失败,SDA操作无法继续”。 新的DC的主机名在我们域的正向和反向查找区域中列出。 但是,它在_msdcs查找区域中格式很奇怪。 只有主机名,而不是FQDN。 在DNS中,正向查找区域“_msdcs.ourdomain.com”如下所示: Name Type Data (same as parent) Start of Authority [630,DC3., hostmaster.ourdomain.com] (same as parent) Name Server (NS) dc1.ourdomain.com. (same as parent) Name Server (NS) dc2.ourdomain.com. (same as parent) Name Server (NS) dc3. SID1 Alias(CNAME) dc1.ourdomain.com. SID2 Alias(CNAME) dc2.ourdomain.com. SID3 Alias(CNAME) […]
我正在尝试将SonicWALL NSA2400与AD集成,以便用户可以使用他们的域凭据进行VPN,并且可以在过期时更改密码。 我是否需要安装ADLSangular色并configurationLDAP,或者LDAP是否已经内置在ADDSangular色中? 我试图做到这一点没有ADLS的作用,并能够通过端口389连接使用未encryption的连接,但VPN客户端不允许更改密码,因为它未encryption,它将被以明文发送,所以我需要启用端口的TLS 636。 当我在sonicwall上启动TLS时,我无法连接到LDAP服务器,我怎样才能configuration这个工作在TLS上?