我在使用Active Directory时非常困难。 采用全新安装的Windows Server 2008 R2 SP1的全新服务器。 一切都很好,直到它安装更新后重新启动。 当我尝试访问ADUC时,我收到一条消息“命名信息无法find,因为:未findnetworkingpath” 如果我从cmd运行dcdiag,我得到: Trying to find home server… Home Server = CEMSA-AD [CEMSA-AD] LDAP connection failed with error 0, The operation completed successfully.. [CEMSA-AD] Unrecoverable LDAP Error 89: 我检查了DNS,这是完全正确的,nslookup正确解决。 LDAP也在运行,因为我可以使用Sysinternals AD Explorer连接到LDAP服务器。 问题是,目前我无法pipe理任何用户和组。 活动目录pipe理中心的作品,但同样,它的一部分,如组成员身份失败。
来自仍在学习Exchangepipe理员的问题: 是否有build议的方式来创build和configuration一个电子邮件帐户,仅由应用程序用于在Exchange 365混合部署中发送消息(警报,报告等)? 该电子邮件地址不应该能够接收消息。 我知道我可以创build一个专用的Active Directory用户,并将该用户链接到Exchange 365托pipe的邮箱。 但是这需要特别注意AD权限和邮件stream规则。 它也消耗一个Office 365许可证(可能有很多这些)。 这必须是一个非常普遍的要求。 有这样一个容易pipe理,直接的方法吗? PS我有一个SMTP中继,接受和转发电子邮件没有身份validation,但只适用于位于相同的防火墙后面的继电器的应用程序。 我正在寻找可以在任何地方工作的解决scheme。
我们公司有8个站点,全部在不同的子网上,通过(慢速)MPLS连接,在AD和Exchange 2007中有大约250个用户。 在我来这里之前,现在的基础设施已经到位了。 我们有一个作为“单一标签域”实施的域 – 域名是“xyz”而不是“xyz.local”。我们已经认识到,这是非常有问题的,并且正在阻碍未来的发展。 从我们迄今看到的情况来看,似乎我们不能只是重命名域,而且看起来我们将不得不创build一个新域,并使用ADMT工具迁移到该域。 一旦顾问build议我们创build一个单独的Exchange实例作为“资源域”并迁移到它 – 首先,然后重命名或迁移主域。 我最大的担忧是风险 – 找出一种方法来改变域名,而不会对公司造成干扰 – 无法login的用户,破坏的脚本,依赖AD组织的方式等等。理想情况下,我希望以阶段性的方式做到这一点,如果这是可能的 – 而不是争取在周末完成。 任何build议如何去这个将不胜感激。
我想通过使用Windows 7的RSAT(远程服务器pipe理工具)来pipe理Samba 4(Active Directory)。我已经安装了RSAT,并在Windows 7中打开了“Active Directory计算机和用户”工具,但是发生此错误: 命名信息无法find,因为: 指定的域名不存在或无法联系。 联系您的系统pipe理员,确认您的域已正确configuration并且当前处于联机状态。 我使用域pipe理员用户login域。 当我运行dcdiag来debugging域控制器时,我得到这个错误: {COMPUTERNAME}不是目录服务器。 这是无法find本地服务器 谁能帮我?
我正在使用特殊绑定帐户将Linux主机(CentOS 6)joinActive Directory。 我已经授予该用户的委托权限,当我join默认计算机OU时,将创build一个计算机对象并更新DNS。 现在,我已将同一个用户委托权限授予不同的OU。 但是,当我尝试使用此命令join不同的OU时: net ads join -k createcomputer="Custom/Location" 一个计算机对象被创build,但DNS无法更新此错误消息: hostname.example.local的DNS更新失败:ERROR_DNS_INVALID_MESSAGE DNS更新失败! 我希望得到这个工作,所以我不必手动将新创build的计算机对象移动到正确的OU,因为我已经自动化了剩下的过程。
关于使用Active Directory身份validation设置单点login到Apache托pipe网站的所有教程,都可以通过configuration具有不安全设置的Kerberos来实现。 现在最好的做法是在Active Directory中禁用Kerberos的RC4-HMACencryption ,但是很多教程都要求重写krb5.conf的默认设置,并使所有的工作都适用于RC4-HMAC。 我想尝试使用AES256encryption设置单点login,并且设法使其工作,所以我正在logging这个问题并回答任何其他谁想要更好的安全性的网站。 从RC4-HMAC开始 我们先从RC4-HMAC开始,因为这很容易。 设置SSO的标准步骤从创build具有关联SPN的域帐户开始,浏览器将使用该帐户来获得encryption凭证以发送到服务器。 对于这个例子,我的用户是REALM \ HostServiceAccount: UPN:[email protected](因此Kerberos主体名称为[email protected]) servicePrincipalName属性(也可以由setspn设置):HTTP / host.example.com; HTTP /主机(Kerberos:HTTP/[email protected]) 单独保留encryption设置; 默认情况下,这使得RC4-HMAC成为最强的encryption方式,所以来自域的票据将具有这种encryptionfunction 我们将下列条目添加到我们的目标服务器上的/etc/krb5.conf中: [libdefaults] default_realm = REALM.COM [domain_realm] .realm.com = REALM.COM realm.com = REALM.COM 我们创buildkeytab并让服务器读取它: # ktutil ktutil: add_entry -password -p HTTP/[email protected] -k 1 -e rc4-hmac Password for HTTP/[email protected]: <enter password here> ktutil: write_kt /etc/apache2/service.keytab ktutil: q […]
我有两台服务器域与Windows Server 2003服务器和其他Windows Server 2008 R2。 有了这个我可以使用Windows 8.1和10客户端连接域和应用策略?
我们使用单独的VMware ESX 5.5服务器作为testing环境,在这里我们复制生产机器。 它在物理上与生产networking分离的vSwitch上运行复制的VM。 上个月,我们使用Veeam将虚拟机复制到服务器并模拟生产,目的是将AD从2008R2升级到2012R2。 这工作得很好,所以我们用最小的麻烦升级了生产。 我应该说,上个月这个testing环境没有上网,所以testing不够完善,不过不pipe用。 这个月,我们在一个完全独立的电缆调制解调器线上引入了互联网连接到testingESX服务器上的模拟生产vLan,以便我们可以做更多的testing(对于使用IIS和SQL服务的应用程序的升级),但看到真正的连接来自通过互联网的客户。 所以我已经复制了处理DC,DNS,证书服务,IIS和SQL甚至networking策略的服务器,尽pipe我不认为这是在这里玩的。 互联网连接的工作,但现在我看到,从生产复制虚拟机大约一个小时左右后,networking位置从lss.local更改为公共。 此外,testingIIS服务器无法为网站提供服务,而且我发现域信任关系现在已经中断,重新创build失败。 networking位置感知设置公共位置,并手动(通过本地策略)将其设置为私人。 他们可以成功地查询DNS,而且我为什么引入一个互联网连接会打破所有的NLA和所有安全通道,而当互联网没有出现时就不这样做。 同时,生产中的服务器进行得很愉快,所以我不担心交叉污染。 简而言之,所有这些问题现在都来自在线新线路的出现或新升级的AD 2012R2域的复制。 我怀疑NLA在这里遇到了麻烦。 你会从哪里开始寻找networking位置变化的原因?
SVN Edge(版本4.0.10-3880.131)与域控制器无法正确validation。 当我使用LDAP安全级别NONE时,我有SVN边缘设置和完美工作。 但是,设置为SSL,TLS或STARTTLS时。 使用活动目录帐户login时,出现错误的用户名/密码错误。 见下面的configuration: 日志文件显示: 2015-11-10 10:17:07,113 [qtp1791392392-61] WARN security.CsvnAuthenticationProvider – Authentication against Apache failed docker日志: 127.0.0.1 – – [10/Nov/2015:10:16:58 -0700] "GET /csvn/login/auth HTTP/1.1" 200 6616 127.0.0.1 – – [10/Nov/2015:10:17:07 -0700] "POST /csvn/j_spring_security_check HTTP/1.1" 302 0 127.0.0.1 – – [10/Nov/2015:10:17:07 -0700] "GET /csvn/login/authfail?login_error=1 HTTP/1.1" 302 0 127.0.0.1 – – [10/Nov/2015:10:17:07 -0700] "GET /csvn/login/auth?login_error=1 […]
我最初可以通过以下命令将一个linux盒子join到域中: sudo kinit [email protected] sudo net ads join -k 几个小时后或第二天,发生这种情况: user@host:~$ sudo wbinfo -a administrator Enter administrator's password: plaintext password authentication failed Could not authenticate user administrator with plaintext password Enter administrator's password: challenge/response password authentication failed error code was NT_STATUS_ACCESS_DENIED (0xc0000022) error message was: Access denied Could not authenticate user administrator with challenge/response 这些命令一直按预期工作: […]