คำถามติดแท็ก active-directory

ฉันต้องการใช้realmdเพื่อเข้าร่วมโดเมน Active Directory จาก Ubuntu 14.04 LTS ต้องการทำเช่นนั้นผมเพิ่งติดตั้งและการอ้างอิงบางคนที่มีคำสั่งนี้:realmdaptitude install realmd sssd sssd-tools samba-common krb5-user หลังจากการติดตั้งฉันพยายามเข้าร่วมโดเมนของฉันด้วยคำสั่งrealm --verbose join ad.example.com -U Administratorมันขอรหัสผ่านผู้ดูแลระบบ แต่พวกเขาล้มเหลวด้วยผลลัพธ์นี้: * Resolving: _ldap._tcp.ad.example.com * Performing LDAP DSE lookup on: 10.7.0.2 * Successfully discovered: ad.example.com Password for Administrator: * Unconditionally checking packages * Resolving required packages * Installing necessary packages: …

9 active-directory  sssd  ubuntu-14.04  linux 

ฉันต้องการทราบว่าเป็นไปได้หรือไม่ที่จะสร้างไฟล์ตารางแท็บโดยตรงจากเครื่องไคลเอนต์โดยไม่ใช้ktpassยูทิลิตี้ในฝั่งเซิร์ฟเวอร์ Windows เหตุผลหลักที่ฉันต้องการสิ่งนี้คือการเปิดใช้งานการรวมการตรวจสอบสิทธิ์ Kerberos จาก Windows Active Directory ในเครื่อง Linux โดยอัตโนมัติโดยใช้เชลล์สคริปต์บางตัว ขอบคุณ

9 active-directory  windows  kerberos 

ขั้นตอนที่จำเป็นในการรับรองความถูกต้องผู้ใช้จาก Active Directory ที่ทำงานบน Windows Server 2012 R2 ใน FreeBSD 10.0 ใช้sssdกับแบ็กเอนด์โฆษณาที่มี Kerberos TGT ทำงานอย่างไร

9 active-directory  freebsd  kerberos  windows-server-2012-r2  sssd 

ฉันสร้างเซิร์ฟเวอร์ Windows 2008 R2 เมื่อปีที่แล้วและนับตั้งแต่บัญชีที่ยกระดับของฉันล็อค 10-12 ครั้งต่อวัน หลังจากการวิจัยและทดสอบมากมายฉันพบว่าเซิร์ฟเวอร์กำลังล็อคบัญชีของฉันในแต่ละครั้งที่พยายามอัปเดตนโยบายกลุ่ม (ล้มเหลวทุก 90 นาที) ฉันไม่พบข้อมูลในเว็บที่ระบุว่ามีบุคคลอื่นเห็นสิ่งนี้และฉันพบว่ามันไม่น่าเชื่อเลย แต่ละครั้งที่ 3 เหตุการณ์ของระบบถูกบันทึกไว้บนเซิร์ฟเวอร์: รหัสเหตุการณ์ 14: รหัสผ่านที่เก็บไว้ในตัวจัดการข้อมูลประจำตัวไม่ถูกต้อง อาจเกิดจากผู้ใช้เปลี่ยนรหัสผ่านจากคอมพิวเตอร์เครื่องนี้หรือคอมพิวเตอร์เครื่องอื่น เมื่อต้องการแก้ไขข้อผิดพลาดนี้ให้เปิดตัวจัดการข้อมูลประจำตัวในแผงควบคุมแล้วป้อนรหัสผ่านอีกครั้งสำหรับข้อมูลประจำตัว ไม่มีรายการใน Credential Manager สิ่งนี้เกิดขึ้นไม่ว่าฉันจะปิดใช้งานบริการ Credential Manager หรือไม่ก็ตามฉันเข้าสู่ระบบหรือไม่ว่าฉันจะออกจากระบบและใช้บัญชีผู้ดูแลระบบท้องถิ่นเพื่อลบโปรไฟล์ของฉัน รหัสเหตุการณ์ 40960: ระบบความปลอดภัยตรวจพบข้อผิดพลาดการรับรองความถูกต้องสำหรับเซิร์ฟเวอร์ cifs / ContosoDC.contoso.com รหัสความล้มเหลวจากโปรโตคอลการตรวจสอบความถูกต้อง Kerberos คือ "บัญชีผู้ใช้ถูกล็อคโดยอัตโนมัติเพราะมีการพยายามเข้าสู่ระบบที่ไม่ถูกต้องมากเกินไปหรือมีการร้องขอความพยายามเปลี่ยนรหัสผ่าน (0xc0000234)" - รหัสเหตุการณ์ 1058: การประมวลผลนโยบายกลุ่มล้มเหลว Windows พยายามอ่านไฟล์ \ contoso.com \ SysVol \ contoso.com …

9 windows-server-2008-r2  group-policy  active-directory 

ฉันประสบปัญหาในการวินิจฉัยการเข้าสู่ระบบช้าเป็นระยะ ๆ ในพีซีของโดเมน ข้อมูลบางอย่างเกี่ยวกับเครือข่ายที่มีปัญหานี้: โดเมนของฉันครอบคลุม 5 ไซต์ทั้งหมดนี้มีการเชื่อมต่อ VPN DCs เป็นส่วนผสมของปี 2003, 2008 และ 2012 ระดับการทำงานของโดเมนคือ 2003 ลูกค้าส่วนใหญ่เป็น Windows 7 x64 เราใช้นโยบายกลุ่มรวมถึงนโยบายที่ใช้ WMI การกำหนดเป้าหมายระดับรายการที่ต้องการและการปรับใช้เครื่องพิมพ์ GPP เราไม่ใช้โปรไฟล์ข้ามเขต ส่วนใหญ่การเข้าสู่ระบบทำงานได้ดีและรวดเร็วสำหรับผู้ที่เคยใช้เครื่องมาก่อน การลงชื่อเข้าใช้ครั้งแรกกับคอมพิวเตอร์ใหม่นั้นช้าเสมอ แต่ก็เป็นไปตามที่คาดไว้ ดูเหมือนว่าปัญหาจะเกิดขึ้นกับแล็ปท็อปเป็นส่วนใหญ่ หากใช้ที่บ้านด้วยการเชื่อมต่อเครือข่ายที่ไม่ใช่โดเมนหรือย้ายไปยังตำแหน่งอื่น (ยังคงอยู่ในเครือข่ายโดเมน แต่เป็นไซต์โฆษณาอื่นและดูเหมือนว่าการล็อกอินแบบมีสายหรือไร้สาย) อาจใช้เวลานานถึง 3 ปี นาทีจากเวลาที่ผู้ใช้ป้อนรหัสผ่านจนกว่าจะถึงเวลาที่ผู้ใช้จะเริ่มแสดงเดสก์ทอป เซิร์ฟเวอร์เทอร์มินัลของเรายังมีการเข้าสู่ระบบช้า น่าเสียดายที่มันเป็นปัญหาที่ไม่สม่ำเสมอและฉันไม่พบวิธีที่เชื่อถือได้ในการทำซ้ำ ความสงสัยของฉันคือมันเกี่ยวข้องกับการตั้งค่านโยบายกลุ่ม แต่ฉันไม่ได้มีข้อพิสูจน์ใด ๆ ฉันเคยเห็นไมโครซอฟท์บทความ KB ตำหนิการกำหนดเป้าหมายระดับรายการบางประเภทสำหรับการเข้าสู่ระบบช้า แต่ไม่ได้ให้คำแนะนำใด ๆ ในการพิจารณาว่าเป็นสาเหตุจริงหรือไม่ บันทึกและเครื่องมือใดบ้างที่ฉันสามารถใช้เพื่อค้นหาสาเหตุที่ทำให้การเข้าสู่ระบบช้า ฉันควรใช้การตั้งค่านโยบายกลุ่มใดหรือหลีกเลี่ยงหากเป็นไปได้เพื่อเร่งความเร็วการเข้าสู่ระบบ

9 active-directory  login  diagnostic 

ฉันต้องการติดตั้งชุด AV ล่าสุดของเราผ่านนโยบายการติดตั้งซอฟต์แวร์ GPO (ดังใน screenclip ด้านล่าง) น่าเสียดายที่คำขอของฉันที่จะใช้ DFS ถูกปฏิเสธและฉันจะต้องสร้าง GPO สำหรับแต่ละไซต์ในสภาพแวดล้อมของเรา (แต่ละไซต์เป็นซับเน็ตของตนเอง) ปัญหาที่ฉันมีคือมีผู้ใช้จำนวนมากเดินทางระหว่างไซต์ดังนั้นเมื่อพวกเขาย้ายไปยังไซต์อื่นพวกเขาจะได้รับ GPO ใหม่และไม่อยู่ในขอบเขตของ GPO ก่อนหน้า ฉันไม่พบเอกสารที่เป็นรูปธรรมว่าการติดตั้งซอฟต์แวร์ GPO จะติดตั้งแอปพลิเคชันอีกครั้งหรือไม่หากมีอยู่ในพีซีปัจจุบันแล้ว ฉันจะใช้ตัวเลือกในการออกจากแอพเมื่อคอมพิวเตอร์อยู่นอกขอบเขต จากการวิจัยของฉันฉันพบว่า GPO จะใช้เฉพาะถ้ารุ่นของ GPO มีการเปลี่ยนแปลงซึ่งใช้ได้ แต่ MSI จริง ๆ แล้วล่ะ ฉันพบสองสถานการณ์ที่ผู้คนหยิบยก แต่ไม่สามารถสำรองข้อมูลได้: GPO เรียกใช้บริการ Windows Installer ที่ตรวจสอบรายการโปรแกรมที่ติดตั้งและจะติดตั้งเฉพาะในกรณีที่ไม่มี MSI เวอร์ชันปัจจุบัน การติดตั้ง GPO เก็บแคชของแอพด้วยรายการซอฟต์แวร์ของตัวเองและจะติดตั้งแอพหากไม่ได้อยู่ในรายการนั้นแม้ว่าจะติดตั้งแล้วก็ตาม ทุกคนสามารถยืนยันข้อมูลที่ถูกต้องสำหรับฉันได้หรือไม่? แก้ไข: ขอบคุณสำหรับคำตอบพวกฉันรู้วิธีอื่น ๆ ในการปรับใช้ซอฟต์แวร์ แต่สิ่งที่ฉันหลังจากนั้นเป็นคำตอบที่เป็นรูปธรรมว่าการปรับใช้ …

9 windows  active-directory  group-policy 

หากฉันมีพีซี Windows ที่เชื่อมต่อกับโดเมนและตัวควบคุมโดเมนทำงานแบบออฟไลน์ฉันจะคาดหวังพฤติกรรมแบบไหนในไคลเอนต์ (สมมติว่าไม่มี DC ตัวที่สอง) ผู้ใช้จะสามารถเข้าสู่ระบบได้หรือไม่ หรืออาจเป็นคำถามที่ดีกว่าฟังก์ชันการลงชื่อเข้าใช้จะเปลี่ยนไปอย่างไร เห็นได้ชัดว่าการแชร์ไฟล์ใน DC จะไม่ทำงาน แต่สิ่งที่เกี่ยวกับการแบ่งปันระหว่างลูกค้าหรือระหว่างพวกเขาและเซิร์ฟเวอร์สมาชิก? เมื่อ DC กู้คืนมาได้ไคลเอนต์จำเป็นต้องรีสตาร์ทออกจากระบบ / เข้าสู่ระบบหรือไม่? มีผลกระทบระยะยาวจากการถูกตัดการเชื่อมต่อจาก DC หรือไม่? ท้ายที่สุดฉันสนใจสิ่งที่ฉันควรคาดหวังว่าจะได้รับจากผู้ใช้หาก DC ออฟไลน์อยู่ อย่าลังเลที่จะพูดถึงข้อมูลสำคัญอื่น ๆ ที่ฉันไม่ได้กล่าวถึง

9 active-directory  domain  domain-controller 

เราเป็นองค์กรขนาดเล็ก 300 ที่นั่งที่มีสภาพแวดล้อม BYOD และ Active Directory แบบผสม (Windows Server 2012 Standard, Windows 7 Enterprise) และเรามีปัญหาแปลก ๆ อย่างมากเกี่ยวกับความล้มเหลวในขอบเขตที่เฉพาะเจาะจงในการแก้ไขชื่อโดเมนขององค์กรของเราบนโดเมนของเรา - เครื่องจักรที่ควบคุมโดย บริษัท สำหรับวัตถุประสงค์ของการสนทนานี้ฉันจะใช้company.comแทนชื่อโดเมนของเรา พื้นหลัง: ตัวควบคุมโดเมนของ Active Directory อยู่ที่ 172.16.1.3 เครื่อง AD / DC ใช้ DHCP, DNS และ HTTP (IIS) ด้วย เว็บไซต์องค์กรของเราที่company.comและsubdomain.company.comนั้นโฮสต์โดย IIS บนเครื่อง AD / DC เรามีสถานการณ์ DNS แบบแยกส่วนที่เซิร์ฟเวอร์ AD / …

9 domain-name-system  active-directory  windows-7  windows-server-2012 

ฉันจะใช้ PowerShell เพื่อค้นหาตัวเลือกไซต์ AD ได้อย่างไร+IS_INTER_SITE_AUTO_TOPOLOGY_DISABLEDใน PowerShell ฉันได้เล่นกับคำสั่งต่อไปนี้ แต่ไม่สามารถรับมันคายอะไรที่เป็นประโยชน์ Get-ADObject -Filter 'objectClass -eq "site"' -Searchbase (Get-ADRootDSE).ConfigurationNamingContext` -Properties options

9 active-directory  powershell 

มีสองโรงเรียนแห่งความคิดสำหรับกระบวนการรื้อถอนของ Active Directory Domain Controllers ที่ใช้เป็นเซิร์ฟเวอร์ DNS เป็นอย่างมาก เพิ่มที่อยู่ IP ของ DC ที่ส่งออกไปยัง DC ใหม่และตรวจสอบให้แน่ใจว่า DNS กำลังฟังที่อยู่นั้น ลดระดับ DC เก่าทิ้งบทบาท DNS ไว้และกำหนดค่า DNS forwarder ไปยังเซิร์ฟเวอร์ใหม่ของคุณ เห็นได้ชัดว่าทั้งคู่เป็น stopgaps จนกว่าเซิร์ฟเวอร์และอุปกรณ์ทั้งหมดจะได้รับการกำหนดค่าให้ใช้ที่อยู่ IP หลักของเซิร์ฟเวอร์ใหม่ แต่บางครั้งช่วงเวลาการเปลี่ยนภาพอาจค่อนข้างยาวขึ้นอยู่กับขนาดของสภาพแวดล้อม มีแนวปฏิบัติที่ดีที่สุดที่ชัดเจนหรือไม่?

9 windows  domain-name-system  active-directory 

ฉันจะกำหนดสิทธิ์การใช้งานไดเรกทอรีให้กับข้อมูลประจำตัวกลุ่มแอพเริ่มต้น [IIS APPPOOL {ชื่อกลุ่มแอพพลิเคชั่น}] ได้อย่างไร ฉันกำลังพยายามทำสิ่งนี้เพื่อเปิดใช้งานกลุ่มแอปพลิเคชันแบบสอบถามที่ใช้งานบนเว็บผู้ใช้และตรวจสอบการมีอยู่ของชื่อผู้ใช้หรือชื่อกลุ่ม ขอบคุณ

9 active-directory  iis  application-pools 

ฉันไม่สามารถโปรโมตเครื่อง Windows Server 2012 ที่ติดตั้งใหม่ไปยังตัวควบคุมโดเมน ฉันมีตัวควบคุมโดเมนที่มีอยู่สองตัว หลักอยู่ที่ระดับ Windows Server 2003 และกำลังเรียกใช้ W2003Server และที่รองกำลังเรียกใช้ Windows Server 2003 R2 ( อัปเดต:แต่เดิมคำถามนี้ถามเกี่ยวกับข้อความแจ้งเตือนที่ไม่ร้ายแรงเกี่ยวกับตัวควบคุมโดเมนที่ไม่สามารถหาได้ซึ่งเป็นเรื่องปกติเมื่ออัปเกรดจาก Windows Server 2003 เนื่องจากเป็นไปไม่ได้ที่จะสร้างตัวควบคุมโดเมนแบบอ่านอย่างเดียวเมื่อ ฟอเรสต์ไดเรกทอรีที่ใช้งานอยู่ในระดับฟังก์ชั่นปี 2003 ดังนั้นในความคิดของฉันว่าควรเตือน quashed หลังจากดำเนินการต่อผ่านข้อผิดพลาดการค้นหาที่คล้ายกันอีกหลายที่น่ากลัวในที่สุดฉันก็มีข้อผิดพลาดจริงซึ่งเป็นAdPrepข้อผิดพลาดที่เกี่ยวข้อง) ในกล่องเซิร์ฟเวอร์ Win2012 ใหม่การเข้าร่วมโดเมนเป็นเซิร์ฟเวอร์ที่เป็นสมาชิกของโดเมนทำงานได้ดี แต่ AD DS Cfg Wiz ค้างไว้ประมาณ 100 วินาทีมันจะไปจากหน้า 1 ของตัวช่วยสร้างไปที่หน้า 2 (ซึ่งแสดงชื่อไซต์คอมโบบ็อกซ์และสองช่องแก้ไขรหัสผ่านสำหรับการป้อนรหัสผ่าน DSRM) ฉันได้รับข้อผิดพลาดนี้ใน Active Directory Domain Services ตัวช่วยสร้างการกำหนดค่า …

9 active-directory  windows-server-2012 

เราใช้บริการหลายอย่างใน บริษัท ของเราโดยใช้บัญชีโดเมนที่ใช้ร่วมกัน น่าเสียดายที่ข้อมูลประจำตัวสำหรับบัญชีนี้มีการเผยแพร่อย่างกว้างขวางและมีการใช้งานบ่อยครั้งทั้งในด้านการบริการและไม่ใช่เพื่อการบริการ สิ่งนี้นำไปสู่สถานการณ์ที่เป็นไปได้ว่าบริการจะหยุดให้บริการชั่วคราวเนื่องจากบัญชีที่ใช้ร่วมกันนี้ถูกล็อค เห็นได้ชัดว่าสถานการณ์นี้จำเป็นต้องเปลี่ยนแปลง แผนจะเปลี่ยนบริการเพื่อให้ทำงานภายใต้บัญชีใหม่ แต่ฉันไม่คิดว่ามันจะไปไกลพอเพราะบัญชีนั้นอยู่ภายใต้นโยบายการล็อคเดียวกัน คำถามของฉันคือ: เราควรจะตั้งค่าบัญชีบริการแตกต่างจากบัญชีโดเมนอื่นและถ้าเราเราจะจัดการบัญชีเหล่านั้นได้อย่างไร โปรดทราบว่าเรากำลังใช้งานโดเมน 2003 และการอัปเกรดตัวควบคุมโดเมนไม่ใช่โซลูชันที่ทำงานได้ในระยะเวลาอันใกล้นี้

9 windows-server-2003  active-directory  best-practices 

เรามีเซิร์ฟเวอร์หลายเครื่องที่ทำงานเป็น Domain Controllers, "DC01", "DC02" และ "DC03" ด้วยเหตุผลบางอย่างเราต้องรีบูตพวกเขา มีขั้นตอนเฉพาะที่ต้องปฏิบัติตามหรือไม่? ข้อมูลเพิ่มเติม: "DC01" ปัจจุบันมีบทบาท FSMO ทั้งหมด ฉันควรโอนบทบาทไปยัง DC อื่นก่อนที่จะรีบูตหรือไม่ ข้อมูลเพิ่มเติม: DC01 เป็น Windows 2008 Enterprise DC02 และ DC03 เป็น Windows 2008 R2 Enterprise

9 windows-server-2008  active-directory  windows-server-2008-r2  domain-controller 

ในเว็บไซต์เดียวมี 3 โดเมนคอนโทรลเลอร์ มีตัวควบคุมโดเมนเพิ่มเติม 3 ตัวสำหรับไซต์ระยะไกล 3 แห่ง คำถามของฉัน: มีเหตุผลใดที่คุณยังควรสำรองข้อมูล Active Directory อยู่? หากหนึ่งในตัวควบคุมโดเมนล้มเหลวคุณสามารถปรับใช้เซิร์ฟเวอร์อื่นและอนุญาตให้ทำซ้ำกับคนอื่น ๆ

9 windows-server-2008  active-directory