我有一个Intranet站点部署到Windows Server 2008 R2中的IIS。 我想用ADauthentication。 目前,该网站只运行在未join域的开发虚拟机上。 在InetMgr中,我在“默认网站”级别和部署了我的网站的应用程序中将“匿名身份validation”设置为“已禁用”,“Windows身份validation”设置为“已启用”。 启用提供程序设置为协商和NTLM。 我已经configuration站点运行在我已经分配在本地帐户“scv.BizTalk”下运行的应用程序池中。 此帐户可以完全访问包含网站的本地文件夹。 在浏览到网站时,我面临着凭据的挑战,并收到401.2错误。 在事件日志中,我看到以下内容: Event code: 4007 Event message: URL authorization failed for the request. Event time: 18/12/2015 14:58:42 Event time (UTC): 18/12/2015 14:58:42 Event ID: fdcfe3ec19ef498ca0c0d66ffca3e961 Event sequence: 2 Event occurrence: 1 Event detail code: 0 Application information: Application domain: /LM/W3SVC/1/ROOT/EsbPortal-1-130949242820806218 Trust level: Full Application Virtual […]
在这里寻找一些疑难解答帮助。 我试图能够在Centos7集群上validationAD用户。 为了testing这个,我正在设置Windows Server 2012 R2和Azure中的集群。 我仔细地按照这里的说明( Active_Directory_trust_setup )进行了一个修改: 我相信列出的dnscmd命令不会正确设置条件转发。 我使用Windowsgraphics用户界面,并得到正确的结果。 (至lessnslookup和dig命令给出了正确的答案。) 我现在的行为是: ipa信任展示显示信任 Ipa trustdomain-findfind一个条目 getent passwd [email protected]作品并显示正确的信息 su [email protected]请求密码并返回“validation失败” mstest到Linux的盒子也authentication失败 我不知道在哪里找出我做错了什么。
我有一个CentOSnetworking服务器,它使用networking上2012 r2服务器的Windows身份validation。 这是我的问题: 当我login时,所有的目录ls -l显示: ls -l drwxr-xr-x. 3 [email protected] apache 17 Sep 25 14:46 jbworkarea 经过一段时间后,大约3-5分钟,我的用户名的所有权限变为一个数字: 示例(相同的目录): ls -l drwxr-xr-x. 3 1869806575 apache 17 Sep 25 14:46 jbworkarea 此时所有的SCP文件系统(WinSCP …)连接报告我没有权限。 要恢复,(即使我的用户名在sudoers,我不需要sudo)只是: chown "[email protected]" . 然后所有的privs用ls -l和WinSCP来报告……在接下来的几分钟里。 任何帮助,将不胜感激。 编辑:这是#realm列表 mydomain.com type: kerberos realm-name: MYDOMAIN.COM domain-name: MYDOMAIN.com configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: […]
我有一个使用表单身份validation的ASP.NET MVC 1.0应用程序。 我们正在使用Windows Server 2008.我需要locking网站,以便只有某些用户(在AD组中)才能访问该网站。 不幸的是,当我设置网站不允许匿名用户使用Windows身份validation时,由于网站和IIS的集成,它显示用户login为他们的域帐户,而不是允许他们login通过窗体validation。 所以,我需要一个混合模式身份validation。 我需要的网站只能通过Windows身份validation访问,没有匿名用户,但一旦你在,它只需要使用表单身份validation。 我将如何去做这个正确的方法?
我在正确configurationIIS身份validation方面遇到了很多麻烦。 我有一个在IIS 6.0下运行的SharePoint网站,并且IIS网站configuration为集成Windows身份validation。 Web服务器位于一个名为STAGING的域中,我的大多数用户都是另一个域,称为CORP 。 CORP用户具有STAGING域帐户,并且能够跨域(例如,用户login到他们的CORP工作站并能够login到该站点)loginSharePoint站点。 但是, STAGING域用户无法从STAGING域内login。 我的理解是, STAGING域用户应该能够访问该网站而不被提示input凭据,但事实并非如此。 即使如此,一旦进入证书,结果总是401。 我查看了Fiddler中的HTTP会话,看起来简单的服务器并不接受客户端浏览器发送的协商凭证。 这是一个简短的logging: HTTP GET server /sites/mysite with headers: { } –> 401.2, with headers: { WWW-Authenticate: Negotiate, WWW-Authenticate: NTLM } HTTP GET server /sites/mysite with headers: { Authorization: Negotiate <digest1> } –> 401.1, with headers: { WWW-Authenticate: Negotiate <digest2> } HTTP GET server /sites/mysite […]
我的域名上有一台计算机突然停止通过组策略接收软件更新。 域login仍然有效,机器上的组策略仍然在更新,所以它知道有新的软件包需要安装以及在哪里查找,但是每次尝试安装软件包时都会抛出1622错误(位置未find)。 login的用户可以达到相同的networking共享,并且networking上的每台其他计算机正在安装这些软件包。 进一步调查发现,在有问题的计算机上以“系统”运行的其他服务也无法对networking共享进行身份validation。 如何在Active Directory中诊断/修复此计算机的帐户? 计算机帐户存在,并且是“域计算机”的成员 – 还是有什么我应该看? 现在的问题是:如何在AD中修复破损的机器账户而不需要重新映像?
我有一个运行在服务器A上的IIS应用程序。它需要能够写入UNC共享上的文件夹,当前在服务器B上。我想保留服务器B上的共享,但是这个环境没有Windows Active Directory域 – 直到这一点,我们已经通过运行任何给定服务(例如DB)下的帐户,其用户名和密码将被复制到服务需要访问的任何其他服务器上解决此问题。 直到这一点,我们不知道IIS应用程序需要“域样式”访问任何其他资源,它尚不具备authentication的替代方法。 IIS应用程序具有设置Identity: ApplicationPoolIdentity ,根据我的理解,它将在SID IIS AppPool\AppPoolName下运行 那么经过一些最初的研究和发现之后,我想出了以下几种可能性,从最小到最优雅的顺序排列。 我的意见是斜体。 将共享移到服务器A上 不是我想要做的事情 – 需要大量现有服务的重新configuration,与其他基础设施不一致。 将有问题的文件夹移动到服务器B上的一个新的共享上,具有匿名写权限。 这至less会把我所有的股份保留在同一台服务器上,但是默默无闻的安全性并不是我的风格。 将IIS应用程序重新configuration为在明确的用户名和密码下运行,以在服务器B上复制以授予对文件共享的访问权限。 至less我认为这样做会达到我想要的效果,但是改变身份似乎是有风险的,并且可能会对应用程序产生不可预见的后果。 为服务器A上的应用程序池标识提供存储的凭据,以获取用户名和密码,以便访问服务器B上的共享。 不知道这实际上是否工作,或者如果你甚至可以把存储的凭据给不是完整的用户帐户的SID。 只是一个想法,但我喜欢它,因为它不影响IIS应用程序的现有configuration。 使用共享上的ACL将访问权限授予服务器A的“计算机帐户” 这看起来像是圣杯,因为它是推荐的方法 (“应用程序池标识也使用机器帐户来访问networking资源”),但是这些机器当然不会绑定到Windows域,这似乎是使用机器帐户。 理想情况下,我想find一个黑客或kludge,将完成项目#5或一些其他方式授予访问权限完全通过重新configuration服务器B,再次没有AD域。 在任何情况下,我也想知道在这种情况下更有经验的Windows Serverpipe理员会做什么(除了设置一个该死的Active Directory域)。
我有一个LDAP服务器Novell eDirectory在我的环境中有用户数据。 在我的环境中,我有一套Windows和Linux服务器。 我需要使用这个LDAP作为两个服务器的身份validation源。 对于Linux,我需要通过将linux设置为LDAP客户端和扩展的linux用户的edirectory模式来实现这一点,用户可以login到计算机,甚至能够为用户创build主目录。 但是问题出现在Windows机器上。 对于Windows机器,我已经使用novell gina来validation用户使用LDAP,但它也需要本地或域用户凭据login到本地系统。然后为每个用户我必须创build一个本地用户在每个系统的目标目的。 然后我使用pgina(另一个开源的Gina),我可以使用LDAP来validation用户,并为用户创build一个configuration文件。 很好,但它也是用LDAP用户名创build本地用户。如果任何pipe理员在本地机器上为这个用户更改密码,那么LDAP和本地用户的密码将不同步。 我怎样才能获得活动目录的login行为,在那里它将与活动目录(认为AD作为LDAP)进行身份validation,并在本地系统中创build一个configuration文件,但从来没有创build一个本地用户。任何人都可以抛出一些光解决这个问题问题? 感谢致敬, 艳阳天。
在Windows VM上,安装需要在域帐户下运行的服务时,我的域控制器拒绝authentication我使用的域帐户。 从域中删除此虚拟机后,再重新添加它,域控制器开始识别我正在安装我的服务的域帐户。 这通常发生在我将虚拟机回滚到某个先前的检查点时,但我确信在该检查点的date,我的虚拟机是该域的成员。 问题为什么在回滚之后authentication失败,直到我删除并重新添加虚拟机到AD域?
这基本上是从我的StackOverflow问题的交叉post,看看我是否可以得到一个服务器端的angular度来看。 我试图通过我们内部的Exchange 2007服务器(使用SMTP)将来自C#控制台应用程序的自动电子邮件从机器发送到同一个域中的所有客户端,但是我遇到了只允许通过身份validation的发件人的分发列表的问题。 基本上我发送的邮件被交易所拒绝: #550 5.7.1 RESOLVER.RST.AuthRequired; authentication required ##rfc822;[email protected] 我正在使用System.Net.Mail.SmtpClient并将Credentials属性设置为System.Net.CredentialCache.DefaultNetworkCredentials (它应该通过运行该进程的当前用户的Windows凭据),但是在某处沿线的证书运行此程序的帐户(我,有效邮箱的有效域用户)不能正确传递到Exchange。 我正在使用System.Net.CredentialCache.DefaultNetworkCredentials因为我不想硬编码的用户名或密码(无论是在代码本身或任何types的configuration文件); 我希望该过程使用Windows身份validation与我们的SMTP服务器进行身份validation。 这里是我用来重现问题的一个testing程序(域名已被分类): using System; using System.Net.Mail; namespace ConsoleApplication1 { class Program { static void Main() { var smtpClient = new SmtpClient { Host = "MAIL", Port = 25, DeliveryMethod = SmtpDeliveryMethod.Network, Credentials = System.Net.CredentialCache.DefaultNetworkCredentials }; var mailMessage = new MailMessage { Body […]