最近,我们在集群中看到了一系列有趣的故障,用户的作业将间歇性地失败,出现login错误,帐户locking错误或文件权限错误。 我们的群集是松耦合和粗粒度的,build立在40个16路Windows 2003机器上。 他们通过本地和广域网上的域控制器参与企业域。 作业提交通过第三方应用程序(ActiveBatch)进行处理,文件存储在Windows 2003服务器导出的SAN和Isilon群集上较新的CIFS共享之间进行分割。 作业是定向非循环图,由1到5,000个进程组成,通过ActiveBatch在头节点上进行调度。 大多数作业都是小batch file或Perl脚本,它们为在FORTRAN中编写的计算代码执行环境设置。 这些作业的input和输出文件存储在SAN或Isilon上。 我们所看到的是间歇性的身份validation失败,最初我们认为是在Isilon上孤立的。 一般故障模式是100-200个作业将开始执行,每个作业在一个文件中引用通用configuration数据。 大多数会成功,然而,在多台机器上的多个作业将在客户端出现文件权限错误(0x775 “被引用的帐户当前locking…”或0x52E “未知的用户名或错误的密码” ) 失败 。 检查这些时间段的事件日志报告0安全审核失败,但同一用户的多个安全审核成功! 唯一靠近的事件日志条目是一个6013事件,让我们知道“系统正常运行时间为2199088秒”。 最近,当作业调度软件试图在远程机器上创build作业时,我们也看到了同样的错误。 ActiveBatch会将作业详细信息发送到机器上运行的服务,然后在创build作业时尝试模拟用户。 与文件权限失败一样,当用户的帐户既没有被locking也没有未知(实际上在这些尝试失败后,同一台机器上的进程成功),我们看到了帐户locking和未知的用户/密码。 我对域控制器不够熟悉,也没有足够的权限去探索,知道这是客户端问题还是服务器端问题。 没有客户端事件日志失败条目导致我相信失败可能是DC超时或networking问题。 但是,在随机服务器和DC之间的Wireshark询问stream量没有显示出偶尔的Kerberos Response Too Big消息之外的严重不一致。 这是高身份validation/模拟负载导致瞬间失败的域控制器设置的常见问题?
在login过程中,用户没有被映射到相应的networking驱动器,我们遇到了一个问题。 我validationlogin脚本是正确的,它的工作如果我手动运行,所以我怀疑有某种networking问题。 当我运行gupdate时,出现一个错误,指出由于缺less到域控制器的networking连接而导致组策略失败。 出现错误后,我可以立即ping我们的dc服务器。 我想这是与DNS和/或DHCP服务器有关。 DNS服务器在DC上运行,DHCP在Pfsense上运行。 我应该将DHCP服务器移到DC上吗?
我正在准备单一login。 遵循本教程http://onlinehelp.microsoft.com/en-us/office365-enterprises/hh125004.aspx 。 当我为企业部署准备工具运行Microsoft Office 365时,出现两个问题。 发现没有显示名称的组注意:没有显示名称的组将不会同步到Office 365.在启用DirSync后,更新每个组的Active Directory中的displayname属性将解决此问题。 查看文件夹c:\ office365reskit \ do_not_modify \中的文件groupsdisplay.csv以获取更多信息 看起来您的架构未准备好用于Exchange混合部署(Exchange Server 2010 SP2或更高版本)如果您不打算从本地Exchange进行迁移,或者如果您将使用其他工具进行迁移,则可能会忽略此消息简单/分阶段的迁移工具 我该如何解决? ( 对于您想要同步的其他DG,请查看以下行动计划: 在本地Active Directory域控制器上,单击“开始”,指向“所有程序”,指向“pipe理工具”,然后单击“Active Directory用户和计算机”。 select该工具的根目录,然后单击视图菜单上的高级function。 find要调整的用户安全组,右键单击该组,然后单击“属性”。 在“属性编辑器”选项卡上,find并selectdisplayName属性,然后单击“编辑”。 在“值”框中,键入所需的显示名称,然后单击“确定”两次。 等待下一个同步强制同步(我这样做,但如何做强制同步) )
我们的整个域有数以千计的通讯组,而我可以使用这里引用的脚本: 如何获取Exchange 2007中的所有通讯组列表及其成员的列表? 要拉动所有的发行集团和他们的成员,要过滤所有的结果实在太难了。 我特别需要拉一个。 (首选)所有组(分配和安全)及其成员(这个特定的OU包含超过100个组)或b。 所有与名称匹配的团体和成员,例如: dsquery | dsget看起来像几乎可以达到这个目的,但是当我做到: dsquery group“OU = my-department,DC = blah,DC = blahblah,DC = com”-name * | dsget group -members(-expand)>> c:\ my-department.txt 它只显示成员而不显示它们属于哪个组。 我需要的输出应该有:组名,成员和可能扩展的子组。 我仍然在研究如何做到这一点,似乎我可以以某种方式使上述引用的脚本search只在一个OU,但我不是很熟悉PowerShell。 任何帮助将不胜感激,谢谢。
背景 :我们有150个用户在域ABC上使用AD。 Windows 2003. serverDC1有一个DNS,DHCPangular色,并有serverDC2这是它的实时DNS备份。 日志看起来健康。 那么我们select升级到新的服务器(Windows 2008),同时将用户组转换到名为ABCNEW的新域。 我们为新服务器安装了一个DNSangular色NEWE。 我们给了这两个域的双向信任关系。 这全部在同一个LAN(!)上。 我们目前将新的DC的DNS指向我们的非主(DR)第二备份路由器。 主路由器T1的数据网关是192.168.1.1,DR路由器的数据网关是192.168.1.2,都插在同一个交换机上,DR路由器也是DHCP服务器的数据线。 只保留服务器的T1数据线。 问题1:我有Windows 7客户login到域ABCNEW和他们的用户configuration文件消失,互联网访问是片状,当我给客户端PC的静态IP我得到奇怪的连接问题。 问题2:在旧域pipe理员帐户不再具有pipe理员权限,甚至添加到用户的Ent Admin不允许用户pipe理员访问。 不知道这是相关的,但它开始发生在同一时间。 问题3:一些新的域名服务器(networking服务器,文件服务器)无法访问互联网,只有内部局域网时,在STATIC,但在DHCP上 – 他们可以上网,但不能联系新的DNS服务器。 问题:1 .不同域中的两个“DC”在同一个LAN上有两个独立的DNS服务器吗? 2.旧DC的DHCP服务器也可以为新域名服务吗? 如果有的话,在新的DC的DNS服务器设置中有一个特殊的设置方法吗?
我正在尝试解决用户的“我的文档”未被映射到networking位置的问题。 大多数用户将其AD帐户设置为H作为其主文件夹,并将其映射到networking位置。 这对于每个人来说都很好,除了一个长期在这里工作的单个用户,他的“我的文档”一直在使用他的漫游configurationfile upload到服务器。 他在这里有几百megs,虽然他只使用一台机器,这显然是不可取的。 我search了HKEY_CURRENT_USER,并将其与工作用户进行比较,但似乎一切正常,我不能使用GPO看到它。 我的问题是,Server 2003做了什么设置这个文件夹,以及如何设置传递给机器? 谢谢。
我目前有一个要迁移到AWS的同地区生产环境。 我们的基础架构在很大程度上依赖Active Directory来访问环境中托pipe的多个平台 – 比如Sharepoint,Tableau等。 目前为止,我在设置方面存在着相互矛盾的build议 – 我被告知要同时closuresEC2和VPC路由,而且我似乎无法坚持下去。 本质上,我希望能够设置域控制器,分段和生产SQL / Web服务器,CI服务器和SAN。 有没有人成功地在EC2或VPC中设置AD / DNS / DHCP域控制器? 在EC2中设置时,你甚至需要DHCP吗?
我有一个Windows 2008 R2域/林function级别的环境与OpenVPN接入服务器(v1.8.4.400)是Active Directory集成和工作顺利。 我一直在使用我们的DBA来简化权限过程,并决定通过AD用户帐户和/或AD组来实现对各种MS SQL数据库的访问。 我们创build了一个testing用户:[email protected],并使用DOMAIN \ dbtest将该帐户通过SQL Management Studio分配给适当的angular色。 然后,我们连接到OpenVPN框,authentication成功,但是当我们尝试连接到SQL数据库时,我们收到以下错误: 已更新(直接来自错误日志) 12/13/2013 08:00:02,Logon,Unknown,Login failed. The login is from an untrusted domain and cannot be used with Windows authentication. [CLIENT: 10.0.160.201] 12/13/2013 08:00:02,Logon,Unknown,Error: 18452<c/> Severity: 14<c/> State: 1. 12/13/2013 08:00:02,Logon,Unknown,SSPI handshake failed with error code 0x8009030c<c/> state 14 while establishing a connection with integrated […]
背景: Web服务器运行LAMP堆栈 Web服务器在总部有通往ADnetworking的VPN通道 遍布全球的多个ADnetworking具有到总部networking的VPN隧道和信任关系 在web服务器上configurationKerberos身份validation,并使用keytab文件工作于所有networking 我是networkingpipe理员,但无法访问任何ADnetworkingconfiguration 当用于访问我们的networking服务器的PC绑定到有问题的AD时,我们遇到了一个只有IE或Chrome才能显示的ADnetworking的问题。 没有令牌被传递,并且在与令牌协商相关的服务器日志中没有条目。 如果我们使用Firefox并启用network.negotiate-auth选项,则用户可以毫无问题地login,但是当使用IE时,他们会得到授权所需的错误。 该网站位于Intranet区域,IWA被检查(由GPO控制) 如果用户尝试使用IE或Chrome从AD以外访问该站点,则会出现预期的身份validationlogin提示,然后会正确发送令牌。 我已经和networkingpipe理员说过了,他们确信AD没有特殊的configuration来确保Kerberos身份validation的正常工作,但是我不明白为什么身份validation可以用于其他六个ADnetworking,并且如果不是这样, ADconfiguration本身。 我错过了什么吗? 什么可以解释谈判令牌的失败? [注意 – 这不是紧急的,而我现在离开办公室的时候,将会在星期一回答任何关于更多细节的请求]
我添加了“Group1”作为我的域中的DHCPpipe理员组的成员。 问题是,添加到该组的组和/或用户没有获得查看/pipe理DHCP服务器的权限。 如何在DHCP服务器上实现这些安全设置? 我已经通过一个小组直接查看了用户的whoami /groups 。 这两个实例都显示用户是DHCPpipe理员组的成员,所以我很确定它正在应用于用户。 似乎DHCP服务器本身并不接受安全设置。 我的环境:configuration两台Server2012 R2 DHCP服务器以实现负载平衡故障转移。 AD架构和森林都是function级别Server2012R2。