我有一个运行login脚本(.vbs)并将其链接到包含W2012R2 RDS主机的OU的GPO(configuration有回送replace)。 我已经做了这些(问题相关)的政策变化: Computer Configuration -> Policies -> Administrative Templates -> System -> Group Policy -> Configure Logon Script Delay -> Enabled -> minute: 0 User Configuration -> Policies -> Windows Settings -> Scripts (Logon/Logoff) -> MyScript.vbs User Configuration -> Policies -> Administrative Templates -> System -> Run legacy logon scripts hidden -> Enabled User […]
目前我们有一个运行在Debian 8和Samba 4上的小型networking的Active Directory设置。有一点我们必须将AD服务器的IP地址从100.0.0.4更改为100.0.0.100。 我编辑: /etc/network/interfaces /etc/hosts /etc/resolv.conf 问题是主机-t返回旧的ip地址。 root@serverdc:~# host -t A serverdc.domain.local serverdc.domain.local has address 100.0.0.4 它看起来像服务器运行良好,但我不想这样离开它。 我知道这是一个noob问题,但我找不到答案,有没有办法修改这个logging? UPDATE 的/ etc /networking/接口 source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug eth0 iface eth0 inet static address 100.0.0.100 netmask 255.255.255.0 network 100.0.0.1 broadcast […]
我们的设置如下:Site0:Exch00 – 原始的On-Prem Exchange服务器。 CAS,MBX和所有传输angular色。 未configuration为使用365执行任何混合/pipe理工作。DC0 – 站点本地DC到Exch00所在的站点 站点1:Exch01 – 混合服务器,全部365pipe理等。MBX,CAS包含要导出到PST或迁移到365的资源邮箱和邮箱。DC1 – Exch01的站点本地DC客户端计算机 Sites2-5:客户端计算机,本地DC。 外部站点:许多未与AD集成并正在使用Outlook Anywhere的办公室。 365 – 使用目录同步,而不是ADFS安装 站点0失败,不需要恢复。 所有用户和资源邮箱以及所需的其他用户数据已经从这些服务器迁移,并且该网站在月底被设置为正确退役。 但是,硬件故障已经为我们照顾到了这一点。 如果需要的话,我们可以从备份中恢复,但是因为我们只是要恢复到停止使用,所以如果可能,我宁愿避免。 我们目前有设备日历(但不是房间)不可用的问题。 它们都存储在同一个数据库中,在同一台服务器上。 所有其他日历function正常,只是设备邮箱不工作。 在Site1 Outlook不断提示input密码,但无论input密码是否正常工作。 外部网站中的用户没有遇到此问题。 在昨天晚上发生硬件故障之前,即使Exch00上的所有Exchange服务都被禁用了,一切正常。 DC已经通过ADSIedit从AD拓扑中删除,而我们的KCC中没有这个痕迹。 该网站仍然存在ADS&S我有以下问题: 我可以通过ADSIedit删除Exch00的所有痕迹,就像其他任何Exchange服务器出现故障一样,或者由于365的配合,还有其他问题吗? 是否有用于设备邮箱的单独的仲裁邮箱比用于房间? 如果是的话,是否有适当的程序来重新创build这个仲裁邮箱? 如果不是,一旦Exchange更新了拓扑信息,设备邮箱的问题可能会解决吗? 什么可能导致Outlook密码提示? Site1中的DC与Exch01完全一样。 Sites2-5也有相同的密码提示问题。
我在我们的networking上有2个使用AD进行身份validation的iMac。 它一直工作得很好。 域控制器一直是Windows Server 2003,我正在进行更换。 我上周添加了一台新的Windows Server 2012机器,并将其升级为域控制器。 作为使新机器成为DC的一部分,我必须将Active Directory从2000升级到2003(我认为)。 所有的个人电脑和1个iMac工作正常。 但是,运行OS X 10.11.1(El Capitan)的iMac却说networking帐户不可用。 不过,我仍然可以从iMac访问networking共享。 旧的iMac(仍在运行的狮子,我认为)仍然认识到networking帐户没有任何问题。 任何想法可能是什么问题?
我遇到安装/卸载Exchange服务器的问题。 我怀疑服务器没有正确地从AD中删除,因此我得到一个错误。 (我已经擦了机器,唯一不变的是主机名和AD) 我该如何searchAD给定的主机名,无论哪里可能(包括部分匹配,因为主机名可能是LDAP格式)?
我有一台名为WEBSERV的服务器(Window Server 2008 R2 Standard)上运行的ASP.NET 4.0(IIS 7.5)应用程序和另一台服务器上名为DATASERV的SQL Server(2008)数据库。 SQL Server具有login设置作为我的数据库用户具有读取权限。 我是与SQL Serverlogin关联的AD组的所有者,名为READGROUP,我使用集成安全性来访问数据库,我知道这是Windows身份validation。 ASP.NET应用程序的应用程序池标识设置为NetworkService。 匿名身份validation已启用。 ASP.NET模拟,基本身份validation,摘要式身份validation,表单身份validation,Windows身份validation全部禁用。 如果需要,我可以启用这些。 对于我来说,让人类用户读取数据库的访问权限,我将它们添加到READGROUP。 我的目标是添加一个非人类用户到READGROUP,以便ASP.NET应用程序可以查询数据库并在HTML表格中显示数据。 我的代码工作在我的开发盒,但它的操作与我的凭据,有权访问的数据,因为我是READGROUP的一部分。 当应用程序在WEBSERV上运行时,其Windows标识显示为“NT AUTHORITY \ Network Service”。 我不想像这样在WEBSERV上存储我的密码。 我必须每90天更换一次,这是一个重大的难题,而IT人员则强烈反对。 有没有办法让我的应用程序添加到我的AD组WEBSERV + ASP.NET的特定用户?
我正在尝试将FreeIPA与Active Directory集成,以便按照本指南为Windows和Linux用户提供单点login。 我已经成功地创build了“winsync”协议,并将AD数据加载到FreeIPA中,但是我正努力从本指南的这一部分设置Windows密码同步。 当用户更改密码时,我在域控制器上的389 PassSync插件日志中看到以下内容: 06/17/16 08:47:32: Backoff time expired. Attempting sync 06/17/16 08:47:32: Password list has 1 entries 06/17/16 08:47:32: Attempting to sync password for some.user 06/17/16 08:47:32: Searching for (ntuserdomainid=some.user) 06/17/16 08:47:32: Ldap error in QueryUsername 34: Invalid DN syntax 06/17/16 08:47:32: Deferring password change for some.user 06/17/16 08:47:32: Backing off for 1024000ms […]
我有一种情况,我试图利用GSSAPI(Kerberos)转发连接到另一个也join到Windows AD并使用SSSD的Linux服务器。 Linux机器使用与服务器的实际FQDN不同的机器名称join域。 当我用我的域名证书login到第一台机器时,PAM成功了,我发出了一个有效的令牌。 它显示与klist 。 但是,即使在另一台已join域的Linux主机上启用了SSH上的GSSAPI和Kerberoslogin之后,我仍然得到“在kerberos数据库中找不到服务器”的客户端错误,并退回到使用密码身份validation。 我正在通过-K来启用Kerberos令牌转发。 如果我的内存服务正确,这可能是由于AD中的Kerberos服务器(在这种情况下是Kerberos服务器)中的SPN问题,而Linux机器与我正在连接(或从中)连接的实际机器的FQDN以不同的机器名称连接我不确定,需要一些帮助指引我在正确的方向。
我们有一些工作站将在偏远的地方生活,我们不一定会有很好的人身安全。 我们需要确保我们能够完全访问这些机器(通过远程桌面,组策略,IPMI /远程KVM等),因此我们将在每个位置使用硬件VPN。 因为我们使用硬件VPN,这意味着有人可以插入VPN端口,但他们需要知道我们的networking基础设施,用户名/密码等,我们也将阻止所有入站stream量到我们的办公室在防火墙除了活动目录stream量。 那么,提出这个问题,使用什么样的域控制器? 起初,我build立了一个只读域控制器,它是我们主域的成员,但即使这也让我们感到不舒服。 另外,它有它自己的痛苦,所以现在我正在考虑其他的select,然后才真正开始使用系统(它还在开发中)。 我想我要么build立一个子域名,要么走一个完全独立的域名的路线。 但是,我仍然需要在域之间build立信任关系,因为我希望我的办公室用户能够轻松地pipe理现场的远程计算机,但是纯粹是为了pipe理目的,并且可以在任何时候中断连接仍然使现场计算机完全运行。 是的,我根本没有信任,但如果可能的话,我想pipe理大部分用户资源。 这里的关键是我们有能力远程pipe理和访问这些计算机,而不会影响我们的办公networking的安全。 有一个更好的方法吗? 别人在这样的情况下做了什么? 谢谢!
我甚至不知道用这个问题提出的正确的词汇,所以我会尽我所能去描述它。 以前的系统pipe理员build立了我们的内部网,这样你只需要在浏览器中input一个单词,它就会正确地把你发送到正确的服务器。 例如,在服务器1上,我们有几个IIS 6站点,我们将它们称为Site1和Site2。 只要我login到内部网,无论是在办公室还是使用VPN,我都可以input'dev-Site1'或'dev-Site2'而不是整个地址。 现在我已经添加了第三个站点,但是我不知道如何设置,以便在浏览器中input“dev-Site3”将把我发送到正确的服务器。 我知道如何通过使用主机文件在本地计算机上执行此操作,但是我不知道如何执行此操作,因此Intranet上的每个人都可以执行此操作。 环境详情: Windows Server 2003服务器 Windows Vista客户端 IIS 6 活动目录 谢谢