这是我第一次做这样的工作,所以我会非常感谢任何细节的指示/步骤。 正如标题所说,如何将Windows Server 2003 SBS中的用户,域,活动目录等设置和configuration(从头开始)或重新创build到新的2008 R2 Enterprise。 设置:独立的Endian防火墙,Windows Server 2003 Small Business Server和八个桌面(XP和Win 7的混合)。 新服务器,2008 R2正在运行,并已完全更新。 2008 R2安装在RAID-1驱动器上,数据将在RAID-6驱动器上,由硬件RAID控制器(Perc H700)configuration和pipe理。
我已经configuration了apache2和mod_auth_kerb。 我以这种方式设置了我的.htaccess # cat .htaccess AuthType Kerberos AuthName "Domain login" KrbAuthRealms DOMAIN.COM KrbMethodK5Passwd on Krb5KeyTab /etc/httpd/httpd.keytab require valid-user 当我在IE中打开页面时,在apache日志中出现以下错误: gss_accept_sec_context() failed: Miscellaneous failure (, Key version number for principal in key table is incorrect) 然后我可以设置密码和通过基本authenticationlogin,这是完全没问题的。 但是我不能通过票证进行validation。 # klist -k /etc/httpd/httpd.keytab Keytab name: FILE:/etc/httpd/httpd.keytab KVNO Principal —- ————————————————————————– 6 host/[email protected] 6 host/[email protected] 6 host/[email protected] 6 host/[email protected] […]
我意识到可以通过多种方式备份GPO – 通过Powershell,通过组策略pipe理等等,但是在Windows中,不仅可以备份GPO本身,还可以备份与各自OU的链接? 这些工具是可以实现的,还是需要像系统状态备份那样的工作? 干杯!
我有以下ADconfiguration: rootca(独立不连接域) mydom.local dc1.mydom.local svr1.mydom.local subca.mydom.local(企业从属CA) other.mydom.local dc1.other.mydom.local svr1.other.mydom.local 我可以注册web服务器证书确定为svr1.mydom.local,但是我login到svr1.other.mydom.local与子域pipe理员,我得到以下错误: Permissions on the certificate template do not allow the current user to enroll for this type of certificate (0x80094012) 我认为这必须与权限相关,但是我不确定如何继续 – 允许子域pipe理员从位于父域的下级CA请求证书的最佳做法是什么? 我的inf文件如下: [NewRequest] Subject="CN=svr1.other.mydom.local" Exportable=TRUE KeyLength=2048 KeySpec=1 MachineKeySet=TRUE [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; Server Authentication OID=1.3.6.1.5.5.7.3.2 ; Client Authentication [RequestAttributes] CertificateTemplate = WebServer 我在svr1.other.mydom.local上运行以下命令: [email protected]如下所示: certreq […]
我有10000个不同的OU,组的用户。 我们有一个Windows 2008 AD服务器和一个Exchange 2010邮件服务器。 客户端使用Windows 7 64位操作系统和Outlook 32位。 每当用户更改密码时,即使在用户input正确的凭证后,Outlook和Lyncs仍会继续提示用户密码。 这会导致帐户locking问题。 因此,我们面临着大量的门票。 我们现在正在做的是重新启动机器,并从保险箱中删除保存的密码。 有没有人有这个替代解决scheme?
我们最近开始testingADAudit工具,并在AD中开启了一些新的审计function。 我在自己编写的自定义程序中有一个LDAP修改操作,用于更新AD(10,000+)组中的非常大的成员资格。 由于审计更改,它看起来已经开始失败。 这是目录服务事件日志中的事件描述。 在logging以下对象的审计事件时,目录服务达到了在任何给定时间内可以caching在内存中的审计事件的最大数量。 达到这个极限的结果,操作被中止了。 可以caching的审计事件的最大数量:17000 有谁知道如何改变这个最大限制? 我无法find任何有关它的信息。
我们有一些安装在Core或Core / Read Only模式下的W2K8R2 DC。 我们想升级到Windows 2012。 我们的目标是也删除“只读”属性,并添加GUI。 将升级到2012年给我们有能力有一个graphics用户界面?
我正在尝试使Grails LDAP插件与我的Active Directory一起工作。 这个插件需要很多我不熟悉的东西,因为我对Active Directory不太了解。 这里是插件所需的东西: // LDAP config grails.plugins.springsecurity.ldap.context.managerDn = '[distinguishedName]' grails.plugins.springsecurity.ldap.context.managerPassword = '[password]' grails.plugins.springsecurity.ldap.context.server = 'ldap://[ip]:[port]/' grails.plugins.springsecurity.ldap.authorities.ignorePartialResultException = true // typically needed for Active Directory grails.plugins.springsecurity.ldap.search.base = '[the base directory to start the search. usually something like dc=mycompany,dc=com]' grails.plugins.springsecurity.ldap.search.filter="sAMAccountName={0}" // for Active Directory you need this grails.plugins.springsecurity.ldap.search.searchSubtree = true grails.plugins.springsecurity.ldap.auth.hideUserNotFoundExceptions = false grails.plugins.springsecurity.ldap.search.attributesToReturn […]
当我在CentOS 6.4的bash提示符下执行此操作时 ldapsearch -LLL -H ldap://adserver.example.com -x -D [email protected] -w somepass -b 'OU=Users,DC=example,DC=com' '(&(objectClass=person)(sAMAccountName=testuser))' 我明白了 dn: CN=TestUser Surname,OU=Area,OU=Users,DC=example,DC=com … objectClass: person … cn: TestUser Surname sn: Surname … distinguishedName: CN=TestUser Surname,OU=Area,OU=Users,DC=example,DC=com … memberOf: CN=Group1,OU=Area,OU=Users,DC=example,DC=com memberOf: CN=Gropu2,OU=Users,DC=example,DC=com … sAMAccountName: testuser 只有在testuser属于名为X的组时,我才想得到响应,而不pipe组X在AD层次结构中的位置。 例如:我想要一个叫做testuser的用户的数据,它是一个名为Group1的组的成员。 我曾尝试更改filter: (&(objectClass的=人)(sAMAccountName赋= TESTUSER)(的memberOf = CN =组别1 *)) (&(objectClass的=人)(sAMAccountName赋= TESTUSER)(的memberOf = *组别1 *)) 无济于事。 您可以从上面的输出中看到,testuser属于组 […]
我们在2008 AD模式下运行Windows Server 2008和2008 R2上的Active Directory。 我们的DNS是AD的一部分,与全局编录在相同的服务器上运行。 我的前任在domain.local中创build了环境(域是替代,.local不是) 在正向查找区域中,我们有一个名为domain.local的容器,它包含一个正在工作的_msdcs容器。 然而,在顶层,我们有一个名为_msdcs.domain.net的容器(注意它的域名相同,但是.net tld而不是.local),这个容器大多包含与domain.local中工作的_msdcs容器相同的logging,但是有一些小的差异。 DNSpipe理器中的布局示例(没有足够的信誉点来发布图像) + Forward Lookup Zones – _msdcs.domain.net + dc + domains + gc + pdc – domain.local – _msdcs + dc + domains + gc + pdc 我想find什么使用它? 我想知道它是如何到达那里? 我想删除它或修复它。 我可以在_msdcs上find的所有MS文档都描述了它的用途以及它包含的内容,但不是为什么在除了我的AD之外的其他域中,我的正向查找区域的顶部会有一个单独的文档。 ================ 更新 看起来AD使用rendom重命名,但没有清理/完成。 要确认这一点,请使用sysinternals Active Directory Explorer(请仔细阅读本工具中的龙) 然后看看这个容器(不是所有的容器显示,asuming你的域名是domain.local) -servername [servername.domain.local] -CN=Configuration,DC=domain,DC=local -CN=Partitions CN=DOMAIN […]