我有一个域(ACME.COM)上运行的服务(AcmeService)和另一个域(DISNEY.COM)中运行的用户。 [email protected]想要使用AcmeService进行身份validation。 该服务知道DISNEY.COM域,并通过使用已知的DISNEY.COM证书将所有用户导入其本地用户数据库中。 如果mickey发送完全限定的用户名/密码,AcmeService可以通过直接连接到DISNEY.COM域控制器(他已经知道)使用LDAP来validation他。 [email protected]也希望使用AcmeService进行身份validation,但希望通过集成安全性进行身份validation,因为他不信任AcmeService足以泄露密码。 (在我的情况下,它使用.Net NegotiateStream这是SSPI的包装) 我对这个问题的理解是,AcmeService不能用一个不属于他的域的用户(ACME.COM)的集成安全性进行validation。 我认为一般的解决scheme是在ACME.COM和DISNEY.COM之间创build一个即将离任的信任关系,但在我的情况下是不可能的。 是否有一个解决scheme,允许AcmeService使用SSPIvalidation用户,如果该用户位于外部域中,并且没有定义的信任关系? 如果解决scheme只能在AcmeService机器上运行,那就没问题了。 我可能会误解,但我的印象是使用ksetup / addkdc可以用外部的MIT Kerberos来做这样的事情。 任何想法? 谢谢 UPDATE 客户端和AcmeService之间的通信已经通过TLS进行了保护(不需要双向authentication)。 连接完成后,客户端知道他正在与真正的AcmeService交谈(感谢TLS),但他现在需要使用他的DISNEY.COM凭证向AcmeServicevalidation其身份,在这里客户端证书不是一个选项,AcmeService只知道它以前导入的ActiveDirectory帐户。 NTLM(v2)对于我的场景来说足够了,但是我不明白为什么Kerberos是不可能的。 AcmeService有一个DISNEY.COM帐户([email protected]),它可以用来与Kerberos进行相互validation。 我认为问题是当尝试使用SSPIvalidation一个disney.com用户时,AcmeService无法自动为DISNEY.COM域定位域控制器。 AcmeService机器需要知道DISNEY.COM控制器可以位于“dc.disney.com”。 以下是在AcmeService机器上运行的dcdiag和nltest的结果: dcdiag /s:dc.disney.com /u:disney.com\acmeuser/p:XXXX/test:LocatorCheck Running enterprise tests on : disney.com Starting test: LocatorCheck Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1722 A Global Catalog Server could not be located – All GC's are […]
我的网站将失去连接到networking的其他部分几天长达一个星期。 当我们发现中断之前,我们发现浏览本地共享的延迟,以及很长的延迟login。我能做些什么来告诉本地控制器在“独立”模式下工作一段时间?
我试图将我的CentOS 7,64位服务器joinAD DC,并使用以下命令: # net ads join -U <username> -S <target server> Enter <username's> password: 但是过了很久,我就明白了 Failed to join domain: failed to find DC for domain <name> 我不知道最新的问题。 但是我有另外一台相同规格的服务器成功连接到了AD DC。 我想这可能是networking问题,因为从另一台服务器(已经join),我可以telnet到端口389和53的AD DC。 但是从这台服务器我不能远程loginAD DC服务器的端口,但只是ping。 那么这个问题是由于networking(端口块)还是其他? 我保证两台服务器都有类似的configuration文件。
我们计划用新的2008 DC(新硬件)replaceWindows 2000域控制器。 我们select了2000域模式up-to-snuff,join2008服务器,升级到DC,复制后降级2000服务器(最终脱机)。 目标是不必访问所有工作站,并限制域名停机时间。 🙂 我们希望将旧的服务器带到这里,并完成所有的备份,域准备,迁移和angular色转移,然后(希望)完成后将新的2008重新放回原处,并将2000服务器作为成员服务器join所以我们可以做文件夹迁移等)。 这台服务器能不能在工作站附近工作吗? 如果我们这样做,一旦新的区议会到位,任何事情都需要对客户做,所以他们联系新的2008年区议会; 或者他们只是“知道”,并继续使用现有的域名设置/用户configuration文件等? 提前致谢! 🙂
我是一个开发人员,他正在设置一个testing目的的虚拟域环境,并且在安装过程中遇到麻烦。 我在新的Forest上创build了一个新的DC …称为dev.contoso.com。 我已经build立了一个虚拟的内部networking,用于所有将要与这个虚拟testing环境分开的机器,并为每台机器在192.169.150.0子网中给出一个静态IP地址。 我已经将machine1.dev.contoso.com添加到域dev.contoso.com。 我还在域中提供了一个用户帐户(adminuser),并使该用户成为Domain Admins组的成员。 在使用我新创build的Domain Admin帐户login到machine1后,我无法访问/运行machine1上的任何文件。 当我进入c:\文件夹的高级权限并转到属性 – >安全选项卡 – >高级 – >有效的权限和searchdev \ adminuser(上面提到),我得到一个错误说: Windows无法计算pipe理员用户的有效权限 我需要做什么才能获得Machine1的pipe理权限? 我为AD控制器和machine1使用Server 2008 R2。
我们的域名有三个域控制器,其中两个是Windows 2008 R2,另一个是运行2003 R2的域控制器。 DC1(2008 R2,PDC仿真器,与外部时间源同步) DC2(2008 R2) DC3(2003 R2) 根据w32tm /monitor DC2目前是从DC1 + 654.6040905s DC3目前来自DC1 + 0.0258444s 这看起来好像DC3同步很好,但DC2漂移每月几分钟。 如何解决DC2和DC1之间的同步问题?
我想知道是否有人可以推荐一种更好的方式来configuration一组Windows Server 2008 R2服务器的域时间同步,而不是我目前configuration的。 我有三个域控制器,都是Hyper-V guest虚拟机。 对于所有这些DC,集成服务的主机时间同步function被禁用。 DC被configuration为授权时间服务器,FSMO DC1服务器使用公共nist-a和nist-b服务器作为其时间源。 DC2,DC3以及此环境中的所有其他服务器(主机和来宾)都是该域的成员,并查看DC1的时间。 对于所有剩余的客人(即不是DC),启用集成服务的时间同步function。 这篇文章的原因是,我偶尔看到下一段中的消息,我想让我所有的服务器(包括主机和客户机)都尽可能的精确: 时间服务检测到900秒的时间差大于5000毫秒。 时差可能是由低精度时间源的同步或者不理想的networking条件造成的。 时间服务不再同步,不能将时间提供给其他客户端或更新系统时钟。 从时间服务提供商接收到有效的时间戳时,时间服务将自行更正。 如果某人与虚拟化DC有类似的设置,并且已经在域中的所有服务器上实现了高度准确的时间同步,那么您的意见是值得赞赏的。 谢谢。
我们有一些运行红帽子5的服务器(应用服务器,Web服务器和FTP服务器)都是虚拟的。 我们也有类似的基于Windows的设置。 昨天,我们的基础架构团队需要closures主域控制器,以便将物理服务器移动到新的机架上。 他们的假设是一旦主域控制器closures,二级域控制器就会启动。 一旦主域控制器断电,基于Linux的应用程序服务器就会慢慢爬行,直到试图通过sshlogin需要大约3分钟的时间。 在解决问题之前,基础架构团队能够将主域控制器重新联机。 在主域控制器停机期间,所有基于Windows的服务器似乎正常运行。 我们首先想到的是,Linux服务器没有将辅助域控制器列为DNS服务器,但事实并非如此。 除了将其用作DNS服务器之外,红帽服务器不具有任何ADfunction。 有什么我们可以检查的想法? 我们不是真正的Linux系统pipe理员,所以我不确定是否缺less一些非常基本的东西。
从昨晚开始,我一直在努力让我们的共享主机通过Active Directory连接(很久以前),但却遇到了与连接到域控制器的客户端的问题。 我已经在我们的“主”机器上设置了域控制器和DNS服务器,遵循这里的指南。 一切似乎工作正常,但是当我去到另一台机器,并尝试join域,我得到错误… “尝试join域”xfactorservers.local“时出现以下错误:未findnetworkingpath”。 我已将NIC上的首选DNS服务器设置为服务器上运行的IP。 这似乎是find它,所以我不知道是什么原因造成这个问题。
这应该是一个非常简单的问题,我希望。 我之前在家庭环境中configuration了Windows域服务器,并像这样设置了networking适配器: IP: 192.168.1.2 Gateway: 192.168.1.1 Primary DNS: 127.0.0.1 网关是一个路由器。 据推测,域名服务器获取路由器处理的“上游”(即,互联网)名称parsing请求。 我现在有一个商业提供商的专用服务器,但升级到域服务器后,我失去了上游名称parsing。 我可以ping IP地址就好了。 IP: 192.168.1.2 Gateway: 192.168.1.1 Primary DNS: 127.0.0.1 IP和网关地址不是真正的,这只是为了举例。 我认为问题是,在升级之前,适配器上的主/辅助DNS指向他们的名称服务器,现在的问题是网关不是名称服务器。 解决scheme是仅仅将主要/辅助DNS更改为其名称服务器,还是必须在服务器的DNSconfiguration中执行更复杂的操作? 谢谢。