我有两个mssql 2005实例,我正在使用CA XOSoft复制。 主服务器是故障转移群集,副本服务器是独立服务器。 他们都运行Server 2003 SP2 X64。 所有服务器上的相同补丁级别。 这个设置工作了好几个月,直到我们最近在master的两个节点上限制了RPC端口(5000-6000使用rpccfg.exe)。 我们必须实现出口过滤,从而限制端口。 我们开始接收SQL窗口身份validation和NETLOGON的login错误事件ID:5719: 由于以下原因,此计算机无法与域中的域控制器build立安全会话:没有足够的存储空间来处理此命令。 这可能会导致身份validation问题。 确保这台电脑连接到networking。 如果问题仍然存在,请联系您的域pipe理员。 我们也看到组策略无法更新,集群文件共享同时脱机。 当我们开始看到这些问题并重新启动服务器时,RPC端口被重新设置为默认值,但问题仍然存在。 域控制器不显示任何错误。 运行dcdiag和netdiag显示一切正常。 我们已经注意到,XOSoft服务ws_rep.exe使用了很多句柄(8-9k),大约与sqlserver使用的数量相同。 只要xosoft复制停止,login错误就会停止,一切正常。 我已经为XOSoft打开了CA的票证,但是我不确定这个问题实际上是xosoft,但问题在于这个问题。 我正在寻找关于debuggingRPC问题的提示。 特别是限制端口,然后恢复更改。
在过去的一个月左右,我注意到lsass.exe已经开始泄漏内存,重启后一周内内存达到500MB以上。 在此之前,我从来没有注意到与系统上的其他进程相比,使用任何大量的内存。 这发生在2个相同的服务器上,这两个服务器都与Active Directory没有任何关系。 也许最近的Windows更新造成了这种情况? 任何想检查的东西? 作为一个侧面的问题是有没有重新启动回收lsass.exe的内存使用的一些方法? 编辑: 这是我在进程监视器中看到的,有几千个registry打开/查询/closureslsass.exe一分钟。 我怎样才能找出触发这些的东西?
有没有人使用Windows 2008 R2域控制器的FreeNAS最新版本使用AD身份validation? 我想使用FreeNAS来托pipe文件,并通过CIFS共享它们,但我无法让FreeNAS通过Windows 2008 R2域控制器进行身份validation。 最终,新的CIFS共享将在我们已经在Windows 2008 R2服务器上运行的DFS名称空间中引用。 任何提示,你可以与我分享?
我正在尝试build立一个声明感知的Web应用程序开发环境。 我是ADFS 2.0的新手,最终我希望能够对两个不同的域进行身份validation。 我觉得我非常接近,但是我从其中一个ADFS服务器收到证书错误。 在处理联合身份validation服务configuration期间,发现元素“serviceIdentityToken”具有无效数据。 已configuration的证书的私钥无法访问。 在Web应用程序中input凭据后,此错误将logging在域1上的ADFS服务器事件日志中。 即使有工作证书,我也会被传递到401未经授权的访问页面。 运行ADFS服务的用户帐户具有权限到证书的私钥,所以我不知道为什么我得到此错误。 我到目前为止所做的: 在域#1上创build一个服务器并安装ADFS 2.0 在域#2上创build服务器并安装ADFS 2.0 在域#1上创buildVS 2010的第三个开发服务器 在开发服务器上构build一个简单的应用程序,并使联合感知(按照http://msdn.microsoft.com/en-us/library/bb897402.aspx ); 在web.config中,联合服务器设置为域#1上的服务器 我也没有在任何一个ADFS服务器上build立一个依赖方信任。 这是必要的吗? 我似乎无法find任何好文件解释这应该如何工作。 我遵循这个( http://blogs.msdn.com/b/alextch/archive/2011/06/27/building-a-test-claims-aware-asp-net-application-andintegrating-it-with –adfs-2-0-security-token-service-sts.aspx )设置这个指南,但我觉得可能有一个简单的步骤,我已经错过了某个地方。 总结: 为什么我会得到上面的证书错误? 我是否缺less设置ADFS的任何步骤,以便我可以对这两个域进行身份validation? (我可能错过了将两个ADFS服务器连接在一起的步骤) 在此先感谢您的帮助。 熟悉ADFS的人可以在几分钟之内设置它!
我有一个tomcat6的webapp,它作为一个服务安装在一个WinServer(2008或2003r2,不知道肯定,人们还没有让我把它交给目前为止)。 Tomcat服务使用特定的服务帐户(不是本地的,而是在域控制器中创build的)运行,与运行服务器的帐户不同。 我们有一个域控制器,所以我们的用户总是与ActiveDirectory进行检查。 networking应用程序从networking共享文件夹中的文件夹中读取文件,该文件夹中有许多具有特殊限制的子文件夹。 指定接收文件的子文件夹configuration为允许具有以下授权的服务帐户 通过文件夹/执行文件 阅读项目 阅读属性 阅读分机 属性 创build文件/写入数据 创build文件夹/附件数据 编写属性 写分机 属性 删除 读取权限 然而,我的web应用程序无法访问子文件夹(它仅位于networking共享的根文件夹下, //fileServer/sharedRootFolder/myFolder )。 有趣的是:如果我把webapp指向我们用作所有员工共享文件的共同点(例如//fileServer/sharedRootFolder/ourCommonFolder )的子文件夹,webapp可以读取这些文件。 从我的工作站中独立的Tomcat(相同的6.x版本)运行的webapp可以读取这两个地方(使用我自己的域帐户运行,这恰好比“无法访问”的文件夹有更less的权限)。 是否有用户的额外configuration设置,服务器中的Windows服务或文件夹中的权限,我应该知道? PS我正在寻找与右键 – 属性 – 安全数据给定的权限。 编辑:在这个线程 ,“login为服务”解释,但是,如果基于域的服务帐户有权访问我的networking共享(这是位于不同的服务器,相同的本地networking)我想要的子文件夹和服务帐户在启动服务时作为服务login ,为了有效访问networking共享子文件夹,还应该执行什么操作? 编辑2: //fileServer/sharedRootFolder/ourCommonFolder文件夹对每个人都有权限,所以我想它指向的东西与服务configuration,基于域的服务帐户启动它和“login为服务”的东西或类似的东西。 编辑3:今天,我们为服务帐户(已经是服务器上的本地pipe理员)configuration“login为服务”,它不工作。 用尽想法…
我目前正在设置winbind / samba并获得一些问题。 我可以用wbinfotesting连通性: [root@buildmirror ~]# wbinfo -u hostname username administrator guest krbtgt username [root@buildmirror ~]# wbinfo -a username%password plaintext password authentication succeeded challenge/response password authentication succeeded 然而,当我做一个getent我没有得到任何AD帐户返回 [root@buildmirror ~]# getent passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin puppet:x:52:52:Puppet:/var/lib/puppet:/sbin/nologin 我的开关看起来像这样: passwd: files winbind shadow: files winbind group: files winbind #hosts: […]
我需要将FreeBSD 8.2 RELEASE p9(运行FreeNAS)导入或将Active Directory用户(或安全组)与Unix / FreeBSD组相关联。 这样,我可以在特定的文件/目录树上使用FreeBSD组的安全性,但仍然允许AD用户访问它们。 我已经尝试了一些没有运气的事情。 将用户标识放入/ etc / group文件中:即格式为“DOMAIN \ username”或“DOMAIN \ user group” 将Unix组的GID匹配到Active Directory组的RID。 据说这个工作直到今年早些时候才发布安全补丁。 使用SAMBA工具的networking组图。 (这个工作正好相反,freebsd用户最终在Active Directory组中)。 我基本上需要一个本地的Unix组,以便能够将映射为驱动器的CIFS共享与Windowsnetworking浏览器共享访问权限。 请注意,我也尝试使用FTP用户/组文件夹的符号链接(不同的驱动器几何形状)。 出于某种原因,Windows用户无法看到该文件夹,并且已打开Wide Links,并closures符号链接并closures了unix扩展。 没有运气。 我将在FreeNAS社区发布这个,但这似乎是一个更基本的系统configuration/pipe理问题。 我也可以在SAMBA社区之一发帖。 谢谢!
我有我们的内联网上的一个盒子的Ubuntu和Apache + PHP + MySQL工作正常。 该框只能通过IP地址(当前)访问。 现在我想设置它,以便已经通过企业Active Directory服务器进行身份validation的用户可以连接到网站,并将AD用户名stream向PHP,而无需用户再次提供AD凭据。 我听说这叫做SSPI,但是这显然是一个Windows的东西。 我发现在Linux下这样做有几十万个不同的指南,涉及到编辑各种configuration文件,而且没有一个指南对我有意义,因为他们中的大多数都试图在这个过程中设置Samba共享,而我只是需要对AD进行纯validation。 我得到的最接近的是当它最终join了一个域时,“同样开放”,但是后来我发现让Apache与“同样开放”一起工作的指示在这之后没有任何意义。 我遵循的指示说,将有一个“/ opt / likewise /”目录包含适当的Apache二进制文件,但“/ opt”(这是一个空目录)中没有任何内容。 假设如下: AD server primary DC hostname: ad.primarydc.com (parent company owns this) AD server primary DC IP: 172.130.0.25 Our AD domain: MAIN (main.ad.primarydc.com) Our AD domain IP: 10.1.134.67 Our AD admin account that can join computers to the domain: […]
我正在尝试在Server 2008 R2上使用ssl的ldap。 得到它所有设置,并能够连接使用ldp.exe到sslcheckboxdomain.example.org端口636。 这是本地服务器本身。 但是 – 我无法使用SSL和SSL端口636使用ldapsearch连接。没有ssl和端口389使用ldapsearch工作正常。 有任何想法吗? 我的客户需要安装证书吗? 我主要只是想encryptionldap连接。 谢谢你的帮助! *编辑* 有效的命令: ldapsearch -x -b "dc=XX,dc=example,dc=org" -D "[email protected]" -H ldap://XX.example.org -W '(&(proxyAddresses=smtp*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))' 不起作用的命令: ldapsearch -x -b "dc=XX,dc=example,dc=org" -D "[email protected]" -H ldaps://XX.example.org:636 -W '(&(proxyAddresses=smtp*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))' 我已经尝试了-h的变体,并使用-p来指定端口。 我将如何去从服务器2008安装证书到客户端?
在一个小型networking(5个客户端,更多的“用户”)中,我有两台Windows Server 2008 R2作为Active Directory DC和文件和打印服务器,我在那里设置了几个GPO和打印机部署。 这对Windows 7和8.1客户端来说是完美的,但是由于我做了Windows 10免费升级,所以我必须在每个用户的会话中手动添加打印机,automatique打印机部署不再工作。 Windows 10中是否有任何更改要求进行一些GPO更改以使其保持正常工作? 我知道手动模式在5个客户端networking上不是那么麻烦,但是我使用夜间提供支持,用户在工作日需要工作,而且他们真的不习惯IT,甚至是添加networking打印机也很复杂他们有时必须login另一台计算机,会话是新的,打印机丢失…