我们的Windows 2003 Servernetworking服务器(我的责任)在另一个城市,通过VPN与我们局域网上的数据库服务器(局域网是别人的责任)进行对话。 VPN通过两端的硬件防火墙build立。 当局域网域控制器进行广播时,远程networking服务器会得到它们吗?
我有一个运行SQL 2008 EXPRESS实例的开发服务器。 该域名为DEVAD,实例为共享内存,命名pipe道和TCP / IP启用。 我的工作站PC位于不同的域名为AD。 我在AD和DEVAD之间build立了域信任关系,并且可以使用我的AD凭证通过SSMS或.NET程序连接到DEVAD实例。 不幸的是,当我连接到另一个networking通过VPN使用不同域的凭据,我得到以下错误“login失败。login是从一个不受信任的域,不能用于Windows身份validation。(Microsoft SQL Server,错误: 18452)”。 对于IPv4和IPv6,我的VPN连接可以select“在远程networking上使用默认网关”。 有关如何防止VPN连接打破信任的任何想法? 更新:我有一个额外的VPN,我偶尔连接到,并没有问题连接到SQL在同一时间,这一个是积极的。 我在SQL主机上进行了一些nslookuptesting,testing了各种已连接且未连接的VPN。 我的问题VPN结束了一个DNS超时,这可能意味着VPN上的DNSconfiguration错误,并提出请求,而不是给一个不存在的域响应(如我的其他VPN一样),并让系统上查询一个知道它的DNS。
我正在运行一组计算机,这些计算机使用组策略进行locking(除了浏览网页和使用Office之外,用户几乎可以做任何事情),并且在关机时(delprof2)从机器中删除本地configuration文件。 最近更新了networking到Windows 7,我发现locking帐户似乎得到一个经典的Windows主题(方形开始菜单等),而不是标准的Windows 7 Aero风格。 我还发现,如果我使用我的pipe理员帐户login到其中一台PC,重新启动它,然后用locking的用户login,locking用户的后续login将获得全新的Windows主题,就像我期望的那样。 我试图确定为什么会发生这种情况。 我尝试过比较正在运行的服务,查看安装了哪些更新,并尝试将locking的用户添加到本地pipe理员组(仅作为testing),以查看是否导致locking的用户能够启动没有另一个pipe理用户必须首先login在一个适当的桌面(顺便说一句,locking的用户仍然没有得到完整的桌面,尽pipe如此)。 一旦用pipe理员账号login到所有的电脑,我几乎find了一个块,找出是什么原因造成的。 有没有人看过这种东西?
我们为先前不包含用于用户身份validation的中央机制的环境部署了新的Windows Server 2012 Active Directory基础结构。 所有客户端计算机都是使用本地帐户的Mac OS X 10.9 Mavericks。 我的目标是将数据保留在存储在/ Users中的本地用户帐户中,但允许AD用户获得所有权,以便本地帐户可以退役。 家庭文件夹将保持本地化 – 他们不会成为networking或移动家庭。 例如:一台电脑有一个名为johndoe的本地帐户,并与主文件夹/Users/johndoe匹配。 我使用短名称john在Active Directory中创build一个新用户。 我希望能够删除OS X本地用户johndoe离开其主文件夹后面。 然后将/Users/johndoe重命名为/Users/jon以匹配AD用户短名称,并允许AD用户采用此本地主文件夹。 我怎么能做到这一点?
我的目标是使用Kerberos对Apache进行身份validation,而不用提示用户名和密码。 它目前总是显示“401未经授权”,并且似乎没有尝试Kerberos。 我找不到任何错误日志,只能find一个显然不起作用的kinit命令,并给出错误 – WireShark中显示的错误为: Linux sends AS-REQ Windows replies KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN 线索还是红鲱鱼? 设置/背景细节 Windows Server 2008 R2 SP1, with Active Directory ("winserver"). CentOS 6.5 ("centos"). configuration主机名和DNS,并在Windows DNS服务器中添加A和PTR条目。 名称parsing显示正常。 使用authconfig-tui创build/etc/krb5.conf和/etc/samba/smb.conf并调整它们。 的krb5.conf `/etc/krb5.conf` [libdefaults] default_realm = SITE.EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] SITE.EXAMPLE.COM = { kdc […]
我已经join到使用PowerBroker IS的zentyal域(AD域),我希望它在远程用户login时挂载我的远程主目录。这是PBIS的configuration: AllowDeleteTo "" AllowReadTo "" AllowWriteTo "" MaxDiskUsage 104857600 MaxEventLifespan 90 MaxNumEvents 100000 DomainSeparator "\\" SpaceReplacement "^" EnableEventlog false Providers "ActiveDirectory" DisplayMotd false PAMLogLevel "error" UserNotAllowedError "Access denied" AssumeDefaultDomain true CreateHomeDir true CreateK5Login true SyncSystemTime true TrimUserMembership true LdapSignAndSeal false LogADNetworkConnectionEvents true NssEnumerationEnabled true NssGroupMembersQueryCacheOnly true NssUserMembershipQueryCacheOnly false RefreshUserCredentials true CacheEntryExpiry 14400 DomainManagerCheckDomainOnlineInterval 300 […]
我目前正在寻找在混合操作系统环境中pipe理组策略的最佳实践。 我们目前拥有Windows 7,8.1,10前后操作系统版本(分别为1511,1603和1703)。 我们希望更新我们的中央存储上的域控制器sysvol共享上的Windows 10 ADMX文件,但是我们很犹豫,因为我们担心最新的Windows 10 ADMX文件可能会覆盖现有的和创build的策略,从而导致问题。 我的理解是,一旦部署了最新的Windows 10 ADMX文件,对于pipe理较旧的Windows版本来说也不是那么好(尽pipe这可能是我的一个误解,也可能是它对pipe理较旧的Windows 10没有好处,并且与pipe理Windows 7,8.1的机器很less有关)。 (我可能是错的,如果我是,请尽可能解释为什么) 我知道历史上,微软保持与GPO文件和操作系统版本的强大后向兼容性,但是,我很确定周年纪念更新是一个不同的野兽,因为它可能引入了我们担心更新到最新Windows 10 ADMX文件。 最好的情况是,我们可以更新到最新的Windows 10的ADMX文件,没有什么改变(定制政策不会被覆盖),我们可以继续进行,但我们正在尽可能谨慎可能并希望知道更新到最新的ADMX文件的最佳做法,而不会损坏我们当前的设置。 感谢您的阅读和所有的帮助!
在我们的networking中,我们有大约1600个活动节点和6000名学生,我们有一个伟大的思科骨干networking,我们有8个学院(他们有站点和无线接入点)和10个医院等中心。 我们需要用MS AD来组织我们的networking,在第一步中有一个具有强大服务器的根AD是我们的解决scheme,但是对于我们的研究,我认为我们需要一个分层AD,我们应该有一个森林(shahed.ac.ir)和18个分中心的树(如:eng.shaed.ac.ir)。 此外,我们将使用鱿鱼服务器caching和其延迟池共享互联网(40MB)和NTLM身份validation。 你觉得这个计划怎么样? 这个解决scheme能适合我们的networking吗? 我们需要为这个解决scheme(AD)提供一个LOM,这个计划(cpu,ram,hard …服务器)最重要的是什么? (我们打算购买HP DL380) 请帮帮我。
我们目前有我们的CentOS 5.5服务器使用Samba和Winbind对我们的Active Directory环境(Windows 2003 R2)进行身份validation。 它为我们提供了很好的服务,但我们需要更强大的function,并且有人build议使用LDAP和Kerberos直接对AD进行身份validation。 推动背后的主要动机是我们有不同的UID / GID,其中一个服务器上的单个用户(bob)将具有UID 501,另一个531,并且影响SMB安装目录的权限。 这是我的理解(作为一个Linux新手),可以读取AD中的Unix属性,从而在整个环境中集中和标准化我们的UID / GID? 我希望这个环境尽可能稳定,并且不要认为Samba / Winbind解决scheme的扩展性很好,所以如果我可以通过将AD指定为一个理想的LDAP服务器来实现这一点。 任何build议,非常感谢,并会阻止我拉我的头发进一步。
我有一个Windows 2003域和Windows 2003域控制器。 我意外删除了整个容器。 容器包含一些子container对象group对象和一些serviceConnectionPoint对象。 我正在寻找一种方法来取消删除它。 我碰到这篇文章 ,这似乎意味着可以通过重新生成逻辑删除对象来恢复刚刚删除的AD对象。 我GOOGLE了一下,发现ADRestore 。 我试过了,它可以成功地还原我的子container对象和group对象,但不是serviceConnectionPoint对象。 它看起来甚至不能用objectClass serviceConnectionPointfind任何墓碑对象。 这是工具的限制还是AD的限制? 是否有任何其他商业工具可以帮助可靠恢复已删除的AD对象?