我们将为Microsoft Dynamics AX 2012设置服务器环境。系统要求提到“Active Directory必须以纯模式configuration”。 在研究这个要求时,我发现一篇TechNet文章描述了六个域function级别 : Windows 2000混合(Windows Server 2003中的默认) Windows 2000本机 Windows Server 2003临时 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 看看这个列表,看来我们的新软件需要域function级别“Windows 2000 native”。 它是否正确? 或者,对于每个域function级别是否存在“本地模式”? Windows Server 2008 R2域可以在纯模式下configuration吗? 当前的产品不能在最新的领域function级别工作是否有意义?
我需要迁移/转换一个DHCP服务器从Linux到活动目录。 目前它在sles9盒子上运行良好。 有136个子网定义和约1200固定地址保留。 如果现有的dhcpd.conf可以编写脚本将会很好…
道歉,如果这是一个重新发布。 我一直在search和研究这个话题已经有三个多星期了,我一次又一次的面对同样的问题,而且我还没有设法解决这个问题。 免责声明:我不是系统pipe理员,虽然我被迫进入工作岗位。 我的任务是为我们的环境(包括Windows XP,Windows 7,Server 2003,Server 2008,Server 2008 R2和Red Hat Enterprise 5.10)实施Active Directory(在Server 2008上)configuration。 很简单。 在线获取快速指南,设置testingVM服务器,将我的Win7客户端连接到我的新AD。 作品。 重复但尝试将RHEL 5.10虚拟机连接到AD? 没有骰子。 我已经关注了如何设置Linux连接到AD的3个不同的“指南”。 更彻底的将是: authenticationUNIX / Linux到Windows 2008R2具体来说,RHEL设置: 第3部分:RHEL 5.6 上市攻击计划: 让ldapsearch使用简单的绑定工作,不encryption configurationLDAP validationLDAP使用getent(1),id(1)等 将根CA证书从Windows导出到UNIX 使用OpenSSL检查CA证书 导入CA证书 使LDAPS与ldapsearch一起工作 更改LDAP以使用LDAPS而不是LDAP validationKerberos是否正常工作:最初,没有主机主体(krb5.keytab) configurationPAM以使用Kerberos(编辑/etc/pam.conf) validation像login这样的服务可以使用kerberised的ID和密码的作品 在Windows中创build主机主密钥表。 将其导入到UNIX中。 validationkinit -k的工作 编辑/etc/krb5/krb5.conf以在[libdefaults]部分中包含“verify_ap_req_nofail = true”。 这将确保UNIX盒子certificate它正在与bonefide KDC进行交谈。 获得单点login工作 按照每个字的步骤,更改IP和主机名以匹配我的testing环境。 有一个例外: C:\>ktpass /princ […]
我一直在为这个问题挣扎好几天,希望有人能帮忙。 当Windows 7客户端从睡眠状态(S3或S4)回来时,DNSlogging会在我们的广告集成DNS服务器中随机删除, dnslogging中大约有4次似乎被删除然后重新创build 大约有十分之一的dnslogging是墓碑式的(因此不再可以解决) Dns服务器是具有2003function级别的2008R2 DC,禁用了dns清除,客户端具有静态ip。 我们没有WinXP客户端的这个问题。 我在dns服务器上的MicrosoftDns树上设置了审计规则,这里是事件4662,我在这两种情况下都得到了第一: 通过客户计算机帐户写入资产 An operation was performed on an object Security ID: MYDOMAIN\AWIN7PC$ Account Name: AWIN7PC$ Account Domain: MYDOMAIN Logon ID: 0xee200a93 Object Server: DS Object Type: dnsNode Object Name: DC=AWIN7PC\0ADEL:acb4b3a9-86db-46e0-9947-a685df55d575,CN=Deleted Objects,DC=mydomain,DC=com Operation Type: Object Access Accesses: Write Property / Access Mask: 0x20 Properties: Write Property {771727b1-31b8-4cdf-ae62-4fe39fadf89e}{e0fa1e69-9b45-11d0-afdd-00c04fd930c9} {d5eb2eb7-be4e-463b-a214-634a44d7392e}{e0fa1e8c-9b45-11d0-afdd-00c04fd930c9}` […]
我已经经历了BPA提出的一些警告,以确保一切都是应该的。 一切都进行得很好,直到我得到以下警告: The value of MaxNegPhaseCorrection on the domain controller ********* should be equal to 48 hours 和: The value of MaxPosPhaseCorrection on the domain controller ********* should be equal to 48 hours 我看了technet上的文章,并指出,下的registry设置 HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection 应该等于172800。 从我所看到的每一个DC我已经检查了这个registry设置为172800.是BPA抱怨,它不是通过GPO应用? 还是在这里有什么错,我应该看?
我们正在推出IPv6,并且正在考虑我们的DNS策略。 这不是一个技术问题 – 这更像是一个“最佳实践”的问题。 我们内部有Active Directory,域控制器处理我们的“内部”区域的权威DNS(例如, domain.local , 16.172.in-addr.arpa )以及所有用户的recursion。 我们有大约1200个用户,因此这5个域控制器可以轻松处理DNSrecursion,只需转发到思科Umbrella DNS即可查看他们不具有权威性的区域。 我们严重依赖于dynamicDNS,对于内部主机的A和PTRlogging。 对于我们的公共区域,我们使用DNS Made Easy 。 现在我们正在研究IPv6,我们希望在内部保持使用dynamicDNS的能力,无论是AAAA还是PTRlogging。 由于在IPv6中不需要NAT,所以给定的主机将在内部具有与在外部相同的地址。 为ip6.arpa区域(内部和外部区域)维护两个单独的数据库还应该做什么? 另一种方法是在我的防火墙中添加一条规则,允许公共DNS服务器成为ip6.arpa区域的辅助服务器。 我并不是在谈论允许互联网直接查询我的数据中心,而是让DNS Made Easy转移代理保留一份副本。 这样做“放弃”我所有的内部DNS条目,但这真的太可怕了吗? 当我input这个内容时,我认为最好是维护两个数据库 – 一个内部数据库和一个外部数据库,就像我以前一直所做的那样。 社区有什么想法?
我在设置Windows Server 2003和Windows Server 2008 AD之间的信任关系时遇到问题。 域a是Windows Server 2003林function级别。 域b是Windows Server 2008林function级别。 我可以在域“a”上设置信任关系的传入方,以便信任域“b”。 尝试我可能在域“B”我不能build立信任关系的传出方到域“A”。 GUI界面提供了一个无用的“请求不被支持”。 我不确定netdom或多或less有帮助,因为它指向FilterSID netdom trust / add b / uo:b \ admin / po:* / d:a / ud:a \ admin / pd:* / oneside:trusting 为了提高这个外部信任的安全性,安全标识符(SID) 但是,如果用户已经迁移到受信任,则启用筛选 域和他们的SID历史已被保留,你可以selectclosures这个 特征。 有关SID筛选以及如何closures它的更多信息,请参阅帮助 为netdom信任/ FilterSids或请参阅帮助和支持。 该请求不受支持。 该命令未能成功完成。 我说“不太有用”,因为Windows Server 2008不支持/ FilterSIDs选项。 我们如何强制创build这种信任? 编辑:只是为了澄清我已经检查了[计算机configuration\ Windows设置\安全设置\本地策略\安全选项]“networking访问:允许匿名SID /名称翻译”在信任的双方启用按照http: //social.technet.microsoft.com/Forums/en/winserverDS/thread/cc61fc25-3569-4413-bbfd-92390eb31118
据我了解,如果用户创build一个文件夹,他们成为所有者,并可以控制NTFS权限,包括删除授予域pipe理员的inheritance权限。 防止域pipe理员被拒绝访问networking文件夹的最佳方法是什么? 这些是我读过的一些方法: 您不应该试图阻止用户更改他们创build的文件夹的权限。 安排一个接pipe域pipe理员无法访问的任何文件夹的所有权的脚本(侧栏问题:如果您更改所有者,是否将取代[即移除]授予完全控制权的ACE?)。 使用共享权限更改和读取)和NTFS权限(修改)的组合来限制经身份validation的用户按照Helge Klein所述更改权限的权限。
我把.htaccess文件放在Nagios html根目录和CGI根目录下,所以为了访问web界面,用户需要一个有效的Active Directory帐户。 我有的问题是在/etc/nagios/cgi.cfg里面说的 use_authentication=1 authorized_for_system_information=nagiosadmin authorized_for_configuration_information=nagiosadmin authorized_for_system_commands=nagiosadmin authorized_for_all_services=nagiosadmin authorized_for_all_hosts=nagiosadmin authorized_for_all_service_commands=nagiosadmin authorized_for_all_host_commands=nagiosadmin 设置use_authentication=0 “解决”的问题,但我已阅读 此外,禁用身份validation会导致各种事情不起作用,因为程序员不想为发生什么负责最好使用身份validation,然后正确设置它;-) 所以我并不太热衷于此。 应该可以用一个组来代替nagiosadmin 基本上所有这些“authorized_for_”的东西是允许“pipe理”用户访问系统。 他们没有告诉你的一个便利是你可以把组名称而不是用户帐户,所以如果你有一个ITpipe理员组定义,把它,而不是所有的成员组 题 当用户使用Apache的mod_authz_ldap.so通过htaccess进行身份validation时,如何定义这样的组?
当提供程序无关的地址空间或ISP分配的静态前缀都不可用,并且委托前缀(通过DHCPv6)是唯一的选项… configurationActive Directory和域控制器以支持IPv6的“最佳实践”是什么?