我在使用Windows 2008 Server上的活动目录(已安装对UNIX系统的支持)上为Linux上的用户(确切地说是Fedora Core 15)设置auth时遇到问题。 我已经成功地设置了Kerberos,使用kinit -p <login>和klist进行testing以查看票证。 但我仍然无法login。 为了减less无用的答案:没有桑巴,Winbind,同样或其他软件允许。 只允许NIS / LDAP。 澄清:我想设置本地和SSH访问的客户端机器。 更新:我通过LDAPconfiguration了AD访问, getent passwd 106289gm和getent shadow提供了有效的getent passwd 106289gm ,但是getent group没有显示任何AD组。
在Samba AD DC HOWTO之后,我在ubuntu 14.04上build立了一个samba 4活动目录。 原则上一切运作良好,但我坚持使用SPNs为Web应用程序运行Kerberos身份validation。 当我尝试跑步 kinit -k -t keytabfile http/myserver.mycompany.com 我总是得到一个 kinit: Client not found in Kerberos database while getting initial credentials 到目前为止,我已经检查了什么: DNS正在向前和向后返回FQN kinit使用用户名 myserver.mycompany.com由dc和web服务器上的nslookup返回 myserver已经join域并被列入 CN =电脑,DC = myCompany中,DC = COM 没有dublicate SPNs 我创build了如下服务帐户/ SPNs / keytabs: samba-tool user create $ADS_USER $ADS_PW –userou=$USER_OU samba-tool user setexpiry –noexpiry $ADS_USER samba-tool spn […]
在一些故障排除期间,我从AD 2003域中删除了运行samba的Linux服务器的计算机帐户。 我们正在使用Kerberos进行身份validation,在删除机器帐户之后,我尝试再次使用该域join net ads join -U Administrator 但是我不断收到像这样的Kerberos错误: [2009/08/18 16:14:36, 0] libads/kerberos.c:ads_kinit_password(228) kerberos_kinit_password [email protected] failed: Client not found in Kerberos database Failed to join domain: Improperly formed account name 看起来,samba记得它曾经有一个AD帐户,并不断试图重新连接到它,但我想从头开始创build一个新的帐户。 我试图删除所有我能find的.tdb文件,以及/ var / cache / samba下的所有东西,但都无济于事 – 它仍然performance相同。 我也尝试在AD端创build机器帐户,但是当我尝试join时,我遇到了一个类似的错误,那就是无法使用机器帐户进行身份validation – 它看起来像是samba尝试以前的机器帐户密码,而我没有知道如何重置它,或者即使我能弄清楚samba使用什么 – 如何在AD中设置它。 任何帮助,将不胜感激,因为在这一点上我唯一能想到的是重新格式化和重新安装机器,我真的很喜欢不这样做。 提前致谢。
我们是一个小企业(〜100 emp)与吱吱作响的服务器运行广告,Exchange 2003和更多。 我们需要升级硬件,并且已经提议将Win Svr Std 2008放在一台装有AD的新服务器上,在虚拟服务器上安装Exchange 2010。 但从我看到这不是一个推荐的configuration。 我可以看到两个select:1)使用Win Svr Ent 2008,将AD放在一台虚拟服务器上,在另一台虚拟服务器上交换2010(Ent版的额外的虚拟服务器总是有用的)2)购买2台独立的服务器,另一方面交stream2010年 运行AD&Exchange的小型企业肯定有很多。 任何人都可以告诉我什么是性能和成本方面的最佳configuration?
我有一个两个vlan的networking,这两个vlan参考我的AD服务器的DNS。 这个networking上的一些服务器是多宿主的。 假设我们有两个子网A:192.168.7.0/24和B:192.168.5.0/24。 然后我们有一个主机名为“胡萝卜”的服务器。 胡萝卜有两个IP,192.168.5.3和192.168.7.3。 我希望每个子网上的用户都能够将“carrot.mydomain”parsing为“本地”IP。 这可能与Windows DNS服务器? 我需要全力“分裂脑”吗? 有没有人有任何有用的链接到这些设置文件,我是一个MS-DNS新手。 编辑:让我们假设主机“胡萝卜”有静态DNS条目,我很高兴将它们添加到我的DNS服务器。 它不以任何方式注册。
Windows Server 2008 | Windows Server 2003 我想在Linux设备上利用LDAPS。 供应商需要我的Windows 2008的服务器证书| Windows 2003全局编录服务器,因此它可以启动对TCP / 3269(也可能是TCP / 636)的安全调用。 为了安全起见,他们不隐式地信任自签名证书,所以我需要从服务器检索它并预加载设备上的公钥。 有人可以指点我如何检索Windows中的这些服务器证书?
我需要在两台Windows Server 2003域控制器上安装Active Directorypipe理网关服务 ,以便能够在环境中的其他计算机上使用Active Directory PowerShell模块; 这是作为一个解决scheme,不要在域中有更多的最近的DC,这是目前无法解决的一个条件。 但是,前面提到的程序包需要修补程序KB969166 ,该修补程序似乎无法在任何地方使用,甚至没有请求(因为它是其他所需的修补程序KB969429 )。 下载页面指出“此修补程序最终将被合并到.NET Framework 4.0中”,但这似乎并不是一个解决scheme,因为4.0框架实际上安装在这些域控制器上(以及所有可用的.NET更新),但在安装ADMGS时仍然出现错误,因为缺less此修补程序。 我知道我们在这里不受支持。 不幸的是,向环境中添加另一个DC不是一个select。 但是,尽pipe如此,该软件包仍然可以使用,并且需要安装的修补程序应该可用。 我该如何解决这个问题?
我想在Microsoft Windows Server上的不同用户下运行一个进程 (而不是服务),我需要这样做的最小权限集合 。 最小的一组权限是必需的,因为这个用户不应该只能login和访问所需的资源。 像这样的东西应该工作: Start-Process -Credential $cred -FilePath calc.exe 我研究了用户权利政策,但没有获得值得注意的成功。
我正在尝试修复完全无计划的非结构化Active Directory层次结构。 在Windows Server 2000上首次创build域时,不会为用户或计算机创build任何容器或OU。 所有用户在默认的“用户”容器下集合在一起,并且所有的计算机都集中在默认的“计算机”容器中。 该域最终得到升级,我现在有两个Windows Server 2008 x64数据中心。 但当然,目前的结构或缺乏是分配权限和应用组策略的噩梦,所以我需要重组整个事情。 我的问题是,如果将用户和计算机迁移到OU和组(如果有),我应该期待什么样的业务中断? 任何build议如何做到这一点? 任何指向最佳实践的指针? 以防万一需要时,环境的其余部分是Windows Server 2008文件服务器,Windows Server 2003 R2打印服务器,Windows Server 2003 R2 Exchange 2003服务器和运行SQL Server 2005 SP2的Windows 2003 R2 x64服务器。
我一直在挖掘谷歌洞找出最佳的方式来同步AD和OpenLDAP之间的用户数据库。 我想要实现的是,在AD中拥有用户数据库,然后将这些用户传播到OpenLDAP,以便这些用户可以访问我的所有应用程序(电子邮件,VPN,文件服务器,打印服务器几乎所有的开源应用程序)。 我想创build一个单一的数据库login,所有用户可以有相同的密码为基于Windows和Linux的应用程序。 我也想确保密码双向更新。 如果有人能分享他的经验,我将不胜感激。 谢谢!!