业务正在从Windows工作组迁移到Windows域。 我们在域中拥有networking共享,我们希望可以访问仍在工作组中的工作站。 (我们会随时间迁移工作站。) 域pipe理员帐户可以从工作组机器访问共享,但标准用户帐户不能。
我们正在运行带有LDAP后端的Samba 3域(Samba 3.5.6)。 最近,我们在虚拟机(称为schnellwienix )上安装了Windows 7,并将计算机join到域中,并遵循Samba Wiki Windows 7页面上的提示 。 Windows机器释放join成功消息,我们的域控制器(DC)创build了一个正确的机器帐户。 一切似乎都是按顺序的。 但是,当任何域用户尝试login时,Windowslogin屏幕会显示错误消息 目前没有可用的login服务器 Windows机器上的NETLOGON服务定期logging两个失败消息:上面的“无服务器可用”和“RPC调用失败”。 每次机器重新启动时都会出现问题,直到机器pipe理员转到“我的电脑” – >“pipe理” – >“本地用户和组”,然后尝试查找任何域帐户,导致问题消失直到机器重新启动。 重新启动schnellwienix ,在域控制器上重新启动smbd , nmbd和winbindd或重新join域没有帮助。 我们有两个正在运行的域控制器,可以被几十台Windows计算机成功用于login。 asterix是configuration的PDC domain logons = Yes domain master = Yes local master = Yes preferred master = Yes obelix是所有主设置为No的BDC,但domain logons = Yes 。 两个DC连接到相同的WINS服务器,根据请求给出PDC,DC和LM的正确地址(通过Samba的net lookup命令检查)。 每台计算机都在DNS中parsing为正确的名称,但DNS中没有configuration特殊的Windows域名。 我试图分析与域控制器交谈的networkingstream量转储: schnellwienix通过DHCP获取IP地址,并在数据包中获取正确的DNS和WINS服务器地址。 schnellwienix通过DNS查询_ldap._tcp.dc._msdc.<ourdomain> , no […]
我用一个分支机构的ipsec隧道replace一个新的防火墙设备的私人T1链接。 我试图找出正确的方法来将新站点上的人员转移到新的连接,以便他们默认使用更快的隧道。 现有networking:192.168.254.0/24,gw 192.168.254.253(思科路由器插入私有t1) testingnetworking我一直在使用ipsec隧道:192.168.1.0/24,gw 192.168.1.1(pfsense fw插入公共互联网),也插入与旧networking相同的交换机。 现有子网中可能有〜20-30个networking设备,大约有5个静态IP。 远程端点已经是防火墙 – 我无法build立到现有子网的冗余链接。 换句话说,只要将隧道configuration更改为指向192.168.254.0/24,现有子网中的所有设备都将停止工作,因为它们指向错误的网关。 我希望有一些能够缓慢执行此操作的能力 – 这样,在移动关键服务或不太容忍的用户之前,我可以通过几个客户端validation新链接的稳定性。 什么是正确的方法来做到这一点? 将所有设备上的networking掩码更改为/ 16,并将网关更新为指向新设备? 这会导致任何问题吗? 另外,我应该如何处理DNS? pfsense框不知道我的Active Directory环境。 但是,如果我更改DNS使用本地服务器,它将导致一个巨大的放缓,因为DNS查询仍然将通过私人t1路由。 我需要一些帮助来制定一个不太破坏性的计划,但是在我做最后的切换之前,我真的会让我彻底地testingIPSEC隧道的稳定性。 AD版本是2008R2,服务器也是如此。 工作站大多是Windows XP SP3。 我没有将192.168.1.0/24configuration为AD站点和服务中的站点。
我们有多个森林,每个森林都有独立安装的Exchange 2010 SP2。 一个SCOM安装可以监视两个森林吗? 需要单向还是双向信任?
我们正计划在我们的Amazon VPC中使用Amazon RDS MS SQL Server 2008实例。 由于我们无法访问RDS的底层操作系统,因此我想知道是否可以将RDS实例joinWindows域? 任何人都有这方面的经验?
有一个我以前见过但尚未find解决scheme的问题,我有一个域中的多个AD站点在物理上分开,逻辑上由不同的子网和AD站点隔开。 在一个站点处于禁用状态后启用用户帐户,然后尝试login工作站(在该站点)时,将收到一条login消息,表明其帐户仍处于禁用状态。 当检查所有DC的本地DC状态时,用户已启用,但由于复制尚未发生,所有其他DC仍然被禁用。 启用用户input错误的密码进行testing显示不正确的密码事件是击中本地DC,也是该域的主DC(但不是在用户的网站),我还没有能够find正确的事件ID在Win2k8对于错误的密码尝试,所以我不能build议哪个DC不正确的pw请求源自。 所有子网都是正确的,本地DC上%systemroot \ debug \ netlogon.log没有错误,服务器返回正确的站点,工作站返回正确的站点,其login服务器是本地DC DFSpath返回到本地DFS主机,login后我看不到任何stream量到另一个DC。 Ping的域名也parsing到本地DC。 我们也设置DNS只指向本地DC。 有没有人有一个想法,为什么这个设置将需要一个比本地DC以外的一个DC来解锁账户? 用户想立即使用他们的帐户,所以这个解决scheme是非常有帮助的。 Win 7客户端,Win 2k8 r2服务器,2003多function网站configurationfunction域
背景: 全球公司拥有多个地点和不同的networking和IT系统。 大多数networking都是基于Windows的并运行Active Directory,有些则通过ADFS连接。 有些是纯粹的MACnetworking。 一个位置没有networking或域控制器。 在LAMP环境(Centos 6,Apache 2.2,MySQL 5.1,PHP 5.3)上托pipe的外部网站充当公司内联网。 目前,用户必须使用不同的凭证集login到Intranet,才能访问其域帐户。 场景: Web团队希望使用户能够享受无缝身份validation,以便在从任何公司networking内部访问时不需要login到Intranet,而是在从本地或外部访问站点时使其能够使用他们的域凭据办公室。 其他用户将继续有一个单独的用户名和密码。 审议: 用户可以select浏览器 英国公司IT支持只有Windows Web团队是基于最less的IIS知识的LAMP 如果英国成功,该系统将扩展到所有其他国家 另一个项目正在使用ADFS来连接公司内的所有Windowsnetworking,但是这个项目在6个月内还不能完成 我已经通过论坛,发现了一些post和答案,但我仍然有几个问题,主要是: 我们可以实现企业用户在外部网站的无缝validation? 一些我已经审查的职位 AD单点login… 自动validationWindows用户… 使用LDAP检查AD用户… 微软的AD和PHP … 对于任何遇到这个post的人,我们做了以下几点: 在Web服务器和AD林中的DC之间创buildVPN隧道 编辑/ etc / hosts文件为森林中的每个域kdc添加映射 编辑/etc/krb5.conf以指定领域及其kdcs,并为每个领域添加域领域映射 为网站编辑虚拟主机文件以添加需要Kerberos身份validation的位置(可以使用目录块)。 增加了所有领域的空格分隔列表到位置块 为每个域生成keytab文件并将其安装在Linux服务器上 可能不理想,但它的作品。 在Web服务器之间build立一个VPN
我已经成功地在apache上为apache服务器所在的AD域中的windows用户实现了SSO:AD domain = example.com Linux server = linux.example.com KDC = ad.example.com 我在httpd.conf中将KrbLocalUserMapping设置为ON,因为用户login的应用程序需要剥离用户名的@ example.com部分。 现在我想让分支机构的用户login到应用程序,但他们来自不同的域= branches.example.com。 两个域都处于可信关系。 当branches.example.com的用户尝试login时,他们得到“内部服务器错误”,并且apache错误日志显示“Krb5_aname_to_localname()找不到主体[email protected]的映射” 我的猜测是,来自子域branch.example.com的用户没有得到剥离的用户名的域名部分。 我需要改变什么地方(可能是krb5.conf?)。 我是否需要为分支子域生成单独的密钥表? 另外,因为它是一个我不能任意重启的生产服务器,所以在改变krb5.conf中的东西之后我需要重启哪些服务?
在Windows Server 2008上,当您添加新用户(手动,即使用服务器pipe理器 > angular色 > Active Directory域服务 > Active Directory用户和计算机 > [站点名称]>右键单击用户并select“ 新build ”>“ 用户 “),密码窗口的默认标记为”用户必须在下次login时更改密码“checkbox。 我希望它在默认情况下closures 。 有没有办法做到这一点? 请注意,我不想要一个脚本或什么,你会批量更新现有的用户。 我想更改添加新用户的默认设置。 我对任何有关密码安全的讲座也完全不感兴趣:只需要closures这些用户的设置,就是这样。
我configuration了我的Linux机器(运行CentOS 5.2),以对运行Active Directory的Windows服务器进行身份validation。 我甚至启用winbind脱机login。 一切都按预期工作,但是我也打算为winbind身份validationcaching强加一个TTL。 到目前为止,我发现的是从samba文档的下面的片段 winbindcaching时间(G) 此参数指定在再次查询Windows NT服务器之前,winbindd(8)守护程序将caching用户和组信息的秒数。 * 这不适用于身份validation请求* ,除非已启用winbind脱机login选项,否则它们将始终进行实时评估。 默认值:winbindcaching时间= 300 显然winbindcaching时间参数不控制authentication请求的cachingTTL。 有没有其他的方式可以实现winbind身份validation请求caching超时? 谢谢