我遇到的基本问题是我有超过100,000个无用的机器证书让我的CA陷入混乱,我想删除它们,而不删除所有的证书,或者提前跳过服务器,并使一些有用的证书无效那里。 这是因为我们的企业根CA(2008 R2)接受了一些默认设置,并使用GPO自动注册证书的客户端计算机,以允许802.1x身份validation到我们的公司无线networking。 事实certificate,默认的Computer (Machine) Certificate Template将很高兴地允许机器重新注册,而不是指示他们使用他们已有的证书。 这对于那些希望使用证书颁发机构的人(我)来说,造成了很多问题,因为每次工作站重新启动时,都会有一个日志。 (侧面的滚动条正在撒谎,如果将其拖动到底部,则屏幕暂停并加载接下来的几十个证书。) 有谁知道如何从Windows Server 2008R2 CA中删除 100,000个左右时间有效的现有证书? 现在,当我去删除一个证书时,我收到一个错误,它不能被删除,因为它仍然有效。 因此,理想情况下,暂时绕过这个错误的方法就是马克·亨德森(Mark Henderson)提供了一种在清除障碍后用脚本删除证书的方法。 (撤销它们不是一种select,因为它只是将它们移动到Revoked Certificates ,我们需要能够查看它们,而且它们也不能从撤销的“文件夹”中删除。) 更新: 我试了一下@MarkHenderson的网站 , 这个网站很有希望,而且提供了更好的证书pipe理能力,但是还是没有达到目标。 在我的情况下,似乎是证书仍然是“时间有效的”(尚未过期),所以CA不想让它们从存在中删除,这也适用于撤销的证书,所以撤销他们所有,然后删除他们也不会工作。 我也用Google-Fufind了这个technet博客 ,但不幸的是,他们似乎只需要删除大量的证书请求,而不是实际的证书。 最后,现在,时间跳转CA,所以我想摆脱的证书到期,因此可以删除与工具在网站马克链接是不是一个很好的select,因为会过期我们使用的一些有效的证书必须手动发放。 所以这是比重buildCA更好的select,但不是一个好的select。
我正在和一家正在教孩子们编程的初创公司合作。 我们刚刚获得了我们的第一批“笔记本电脑” – 半打翻新的Windows 7笔记本电脑 – 我正在寻找pipe理和维护笔记本电脑的最佳方式。 我已经确定购买批量许可证密钥似乎是有意义的,所以我可以使用重新映像权限并生成一个我可以写入所有这些的已知良好映像,并在需要时使用它来清除计算机。 我现在想知道的是如何最好的持续pipe理他们。 笔记本电脑将在各种networking上运行,而这些networking都不受我们控制,而且我们也没有中央办公室或服务器。 我们宁愿不收购。 我希望能够轻松地将更新和新软件推送到所有笔记本电脑,以及执行远程configurationpipe理员帐户和pipe理补丁程序以确保笔记本电脑保持最新。 作为一个小创业公司,资金是有限的,花在软件许可证上的钱是我们花在更多硬件上的钱,所以昂贵的解决scheme有点不行。 有没有人有任何build议,我们如何可以最轻松地做到这一点?
这是我最近设置的东西,是一个相当大的痛苦。 我的环境变得鱿鱼不可见地对Windows 2008服务器的Windows 7客户端进行身份validation。 NTLM不是一个真正的select,因为使用它需要每个客户端的registry更改。 微软自Windows 2000以来一直推荐使用Kerberos,所以终于可以获得这个程序了。 许多非常感谢Squid邮件列表的Markus Moeller帮助完成这个工作。
就像我想很多人一样,我们有一个Windows / Active Directory环境和许多需要Java的内部业务应用程序。 我们的经验是Java在这样的企业networking环境中玩不起来。 初始安装是好的(至less现在有一个MSI),但是让事情继续下去可能是一个很大的挑战。 我们遇到的具体问题包括: Java有它自己的更新程序,所以它不会与我们的内部修补程序pipe理系统绑定。 缺乏任何通过GPOpipe理Java设置的工具。 要求用户手动configuration某些设置。 每台机器上有多个Java运行时(Oracle Jinitiator是这里的一个特别的罪魁祸首)。 存储在Program Files文件夹下的关键设置文件。 与我们在一起,这主要是一批login脚本和hacky解决方法,但我有兴趣听到其他人如何处理这些项目,如果有任何其他的事情需要注意这里。
这是一个小公司(12名开发人员)谁没有实施任何集中用户数据库 – 他们已经有机地增长,只是在他们需要的计算机上创build帐户。 从pipe理的angular度来看,它的噩梦 – 十台电脑都有不同的用户账号。 如果用户被添加到一台计算机,他们需要手动添加到其他所有(他们需要访问)。 这远非理想。 随着越来越多的计算机/用户被添加/雇用,前进和业务增长将意味着更多的工作。 我知道某种集中用户pipe理是非常需要的。 不过,我在Active Directory和OpenLDAP之间进行辩论。 目前两台服务器都是简单的备份和文件共享服务器,都运行Ubuntu 8.04LTS。 这些电脑是Windows XP和Ubuntu 9.04的混合体。 我没有活动目录(或真正的OpenLDAP的事情,但我很熟悉Linux)的经验,但如果一个解决scheme超过另一个,那么我保证,我知道这一点。 TCO不是真正的问题。 如果Windows(SBS我假设?)将节省我足够的时间弥补增加的前期成本,那么我认为我应该去解决scheme。 为了我的需要,我应该看什么解决scheme? 编辑:电子邮件是异地托pipe,所以交stream是没有必要的。
(重写这个问题的大部分,因为根据新的信息,我的许多原始testing是无关紧要的) 我与Server 2012 R2 DNS服务器有问题。 这些问题的最大的副作用是Exchange电子邮件不通过。 在尝试Alogging之前交换对AAAAlogging的查询。 当它看到SERVFAIL的AAAAlogging,它甚至不尝试Alogging,它只是放弃。 对于某些域,当查询我的活动目录DNS服务器时,我得到SERVFAIL而不是NOERROR而没有结果。 我已经尝试了几个不同的运行DNS的Server 2012 R2域控制器。 其中之一是一个完全独立的域,在不同的防火墙和互联网连接背后的networking上。 我知道导致这个问题的两个地址是smtpgw1.gov.on.ca和mxmta.owm.bell.net 我一直在使用Linux机器上进行testing(192.168.5.5是我的域控制器): grant@linuxbox:~$ dig @192.168.5.5 smtpgw1.gov.on.ca -t AAAA ; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> @192.168.5.5 smtpgw1.gov.on.ca -t AAAA ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56328 ;; flags: qr rd ra; QUERY: […]
我正在使用Ubuntu 10.04服务器。
最近我有一些Active Directory麻烦,想知道我可以做什么检查,我可以做,以确保一切工作最佳?
2014年关于Linux服务器和现代 Windows Server操作系统(CentOS / RHEL)的Active Directoryauthentication/集成的常识是什么? 自2004年我第一次尝试整合以来,似乎围绕着这个问题的最佳做法已经转移了。 我不太确定目前哪种方法的动力最强。 在这个领域,我看到: 对Winbind /桑巴 直接 LDAP 有时LDAP + Kerberos 用于Unix的Microsoft Windows服务(SFU) 用于Unix的Microsoft身份pipe理 NSLCD SSSD FreeIPA Centrify公司 Powerbroker( 同样地 ) Winbind总是显得可怕和不可靠。 像Centrify和Likewise这样的商业解决scheme一直在运行,但似乎没有必要,因为这个function已经被embedded到了操作系统中。 我所做的最后几个安装过程中,将Microsoft Identity Management for Unixangular色function添加到Windows 2008 R2服务器和Linux端的NSLCD(RHEL5)。 这一直工作,直到RHEL6,NSLCD和内存资源pipe理问题缺乏维护迫使改变SSSD。 红帽也似乎支持SSSD方法,所以这对我的使用来说很好。 我正在使用一个全新的安装,其中的域控制器是Windows 2008 R2 Core系统,并且不能添加Identity Management for Unixangular色function。 而且我被告知,此function已被弃用, 不再存在于Windows Server 2012 R2中 。 安装此angular色的好处在于此GUI的存在,同时允许对用户属性进行简单的一步pipe理。 但… 远程服务器pipe理工具(RSAT)的服务器networking信息服务(NIS)工具选项已被弃用。 使用本机LDAP,Samba客户端,Kerberos或非Microsoft选项。 如果它可能会向前兼容,那么就很难依靠它。 […]