Questions tagged «active-directory»

我有一个最近配置的测试域。突然之间，只有具有缓存凭据的用户才能登录。该域包括两个域控制器，这两个域控制器都是相互复制的全局编录。 在调查了该问题之后，我发现所有_mcdcs域记录都在两个DNS服务器上完全消失了。由于无法解析诸如_ldap和_kerberos之类的SRV记录，因此无法定位域控制器。 我不太确定这是怎么发生的...清除DNS缓存或DNS清除会导致这种情况吗？ 此时，我需要以某种方式还原记录。我查看了另一个域的设置，看起来它们可以手动重新创建...但是我注意到某些DNS记录中似乎包含SID名称...而且我不知道需要使用什么标识符用于重新创建它们。 有没有一个更好的过程可以用来摆脱这种情况？

8 domain-name-system  active-directory  domain-controller  windows-server-2012-r2  srv-record 

我们的Exchange 2013服务器突然开始记录有关站点之间错误复制的错误（应该没有任何其他服务器，因此不应进行复制）以及其他一些似乎相关的问题。 我们有两个通过VPN连接的站点。这是Active Directory站点配置： 每个站点有多个子网，并且子网与站点之间的路由正常。 Exchange服务器的IP地址为，10.10.0.26并且它与具有IP的DC 10.10.0.21（在图中名为XXXX-DC01的DC）在同一个Hyper-V主机上运行Default-First-Site。 Exchange服务器认为它在YGXXX站点中： 我启用了NTLOGON.LOG，但唯一的相关信息似乎是： 如何确定服务器选择错误站点的原因？

8 active-directory  exchange  exchange-2013 

我正在使用Windows Server 2012 R2上的测试域。我正在尽可能高的功能级别上进行操作，并且在小型测试环境中没有向后兼容性问题。但是，我已经意识到，尽管事实上我支持 Kerberos AES身份验证，但是默认情况下，任何用户都不会启用它。我实际上必须进入用户的属性并选中“此帐户支持Kerberos AES 128位加密”和/或“此帐户支持Kerberos AES 256位加密”以启用它。 （我在将测试帐户添加到“受保护的用户”组时首先意识到了这一点，该帐户将策略设置为需要AES。此后，我的所有网络登录都开始失败，直到选中了这些框。） 我认为默认情况下可以禁用此选项以确保某些系统的向后兼容性，但是我找不到为所有用户启用此功能的方法，甚至找不到当前行为的解释。 有任何想法吗？

8 active-directory  kerberos  windows-server-2012-r2  encryption 

在Active Directory中，您可以设置和执行规则，其中用户必须使用强密码，不能使用他们已经拥有的最近5个以上的密码，并强制设置密码复杂性。有没有一种方法可以强制执行此类设置，以便如果服务帐户（密码重置Web服务）尝试为用户设置新密码，则将根据策略检查该密码，该密码会被接受还是拒绝？ 似乎由于该服务帐户正在强制更改密码，因此用户可以通过Web界面输入相同的密码，并一遍又一遍地继续使用相同的密码。由于这是一个服务帐户，正在为他更改密码，因此不会根据最近的已知密码进行检查，因此不会执行密码规则 尽管程序员可以编写复杂性检查代码，但是由于Web服务不了解最后的密码，因此无法在Web界面上检查最后使用的密码检查。 是否可以强制这样做，以便像普通用户更改密码一样限制服务帐户对密码的更改？

8 active-directory  windows-server-2012  windows-server-2012-r2 

我目前正在重组我正在工作的公司的Active Directory用户列表，而这样做的人做得很糟糕，当然，现在不再在这里工作。 我的问题如下： 我想要一个Excel电子表格（理想情况下）包含用户图表的“成员”选项卡中包含的所有信息。 我曾尝试创建查询，但是结果只给我列出了属于“成员”的用户列表，而不是“成员”选项卡的实际内容。 是否可以通过命令提示符或直接从Active Directory中执行此操作？ 合理的警告：我对VBS和Powershell一无所知。

8 active-directory  export 

我可以成功使用Powershell告诉用户是否在Active Directory中进行了身份验证： Function Test-ADAuthentication { param($username,$password) (new-object directoryservices.directoryentry "",$username,$password).psbase.name -ne $null } Test-ADAuthentication "test" "Password1" 但是，我无法终生解决： 检查是否需要重置密码，同时 验证发送的凭据确实可以使用其上一个密码。 怎么会这样呢？

8 active-directory  powershell 

我正在尝试使用PowerShell DSC将域组添加到本地管理员组。这是代码： Configuration TestSetup { Node localhost { Group Administrators { GroupName = "Administrators" MembersToInclude = "MYDOMAIN\TheAdministratorsGroup" } } } 运行它会导致以下错误： PowerShell provider MSFT_GroupResource failed to execute Test-TargetResource functionality with error message: Could not find a principal with the provided name [mydomain\theadministratorsgroup] + CategoryInfo : InvalidOperation: (:) [], CimException + …

8 windows  active-directory  powershell  groups  dsc 

有什么方法可以创建活动目录域corp.domain.com而无需先创建domain.comAD DC？ 或者换一种说法，corp.domain.com可以成为森林的根吗？

8 active-directory 

目前，我们的分支机构没有现场服务，我们希望对此进行更改。最大的目标是设置一些文件服务器，但是也欢迎更快的登录和DNS解析。 我正在一个单独的子网/ VLAN上的一些VM上做一些实验，所以可以说我有林和域domain.com： 有一个Office带有子网192.168.1/24和一个主DNS区域的站点domain.com 添加TestSite具有子网的辅助站点192.168.100/24 192.168.100在DNS中创建反向查找区域 创建Branch-DC01具有IP地址的运行Server 2012 的VM192.168.100.1 已添加domain.com为成员 安装AD DS只读域控制器（RODC）在TestSite 主要DNS服务器Branch-DC01.domain.com是127.0.0.1 为新服务器设置DHCP作用域，并配置为DHCP以始终更新DNS 创建Branch-PC01运行Windows 8的VM，并将其添加到domain.com Branch-PC01192.168.100.20从DHCP，DNS服务器获得IP地址，192.168.100.1该成员domain.com存在正向查找区域中成员的条目，但不存在于反向查找区域中（重要吗？） 在Branch-PC01执行nslookup domain.com-结果出来与主的IP地址回DCs从Office网站（192.168.1子网） 现在这在我脑海中是不对的-它不应该返回192.168.100.1吗？还是我误解了整个概念-应该如何加快登录速度？ 我是否需要一个单独的DNS区域（如果没有子域，除非需要，否则该域将如何工作？）？ 我能指出的任何想法/文章都很好。我已经阅读了许多TechNet文章，但都不是明智的选择。 谢谢 更新资料 非常感谢@TheCleaner和@ charleswj81，感谢您的努力。 我刚刚尝试了nltest，结果与分支DC和客户端PC的结果相同： U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com DC: \\Branch-DC01.domain.com Address: \\192.168.100.1 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb Dom Name: domain.com Forest Name: domain.com Dc Site Name: TestSite Our Site Name: …

8 domain-name-system  active-directory  windows-server-2012  windows 

创建Python服务以查询AD属性 我正在将我们的AD与在Linux上运行Python的Web服务集成在一起，并使用基于SASL的Python-LDAP（DIGEST-MD5）查询AD 2012用户属性（部门，部门，电话分机，电子邮件等）。在针对AD 2003解决了我的服务特有的问题之后，针对新AD 2012遇到了SPN错误，即digest-uri与服务器上的任何SPN不匹配。我已经交叉引用了两个服务器的SPN列表，它们包含彼此相同的类似物。 错误：digest-uri与为此服务器注册的任何LDAP SPN不匹配 解决方法？ 这是通过运行解决的： setspn -A ldap/<Domain_Name> <Computer_Name> 请注意，即使运行以下命令，创建服务帐户也无法解决我的SPN错误： setspn -A ldap/<Domain_Name> <Domain_Name>/<Service_Account_Name> simple_bind_s（）不需要SPN，sasl_interactive_bind_s（）不需要SPN 仅使用sasl_interactive_bind_s（）将SPN添加到本地计算机SPN列表可用于我的Python-LDAP服务。我还应注意，如果我使用simple_bind_s（），则可以跳过SPN步骤，但是此方法以明文形式发送凭据，这是不可接受的。 但是我注意到该记录在消失之前仅在SPN列表上停留了大约一分钟？当我运行setspn命令时，没有错误，事件日志完全为空，在任何地方都没有重复项，通过在基础dn上的-F林范围搜索来检查，什么也没有。我已经添加并尝试重新添加，并从对象到对象之间移走了SPN，以验证它没有隐藏在任何地方，但是第二次我在任意位置添加了对象，然后尝试重新添加它通知我重复。因此，我非常有信心在某处没有任何重复项。 骇客 现在，我有一个计划任务，它重新运行该命令以将记录保留在列表中，因此我的服务将被恰当地命名为“ SPN Hack” cmd.exe /C "setspn -A ldap/<Domain_Name> <Computer_Name>" 直到我找出为什么从列表中清除SPN的原因。 我不是此特定AD的主要管理员，管理员能否运行正在运行的服务，该服务会将SPN与AD上的其他服务同步，并且不知道它？我的名字叫Web Developer，不是作为借口，而是为了解释我对Active Directory的无知。有人告诉我要使AD成为主用户数据库，我已经读了很多东西，但是我找不到任何地方出现人们对SPN定期“覆盖”或“清除”的问题，而且都没有管理员对SQLServer条目之外的SPN非常熟悉。 为什么需要骇客？ 到目前为止，我的骇客似乎并未对任何用户或服务造成任何问题，也未产生任何错误，因此管理员表示他将让其运行，我将继续寻找。但是后来我发现自己处于编写服务的不稳定状态，该服务的实现建立在该服务之上，本质上是cron hack / shiver ...因此，我们将不胜感激。 更新资料 与系统管理员交谈后，他同意在hack之上构建服务不是解决方案，因此他被授予我使用端点加密启动本地服务的权限，我可以将其用于我的目的，结果是一样的。我会密切注意导致SPN清除的原因。使用Python-LDAP本地绑定不是问题，并且本地服务仅在一个小时左右就已经启动并运行。不幸的是，我实际上包装了LDAP中内置的功能，但是我们要做的是要做。

8 active-directory  ldap  python  spn 

我有在物理Dell服务器上运行的Windows Server 2008 R2域控制器，型号为PowerEdge R510。 这里周围存在一些电气问题，因此不幸的是，停电非常普遍。虽然有UPS，但是它们不如应有的可靠，有时服务器会关机。 出于某种原因，我确实无法理解，有时在不正常关机后会出现此特定的DC，并遇到USN回滚，这迫使我们降级并将其升级。 这根本没有任何意义，因为服务器是物理服务器，并且从未在其上执行快照，克隆和/或还原。另外，没有安装任何其他软件，它仅执行DC职责；具体来说，不存在克隆/恢复/任何软件。 文件系统损坏至少在某种意义上是有意义的，但是USN回滚实际上没有意义，因为无法将服务器恢复到先前的状态。但是，在过去的两个月中，这种情况至少发生了3次，因此绝对不是一次疯狂的事件。但我完全无法提出解释。 这个问题可能是什么原因？

8 active-directory  windows-server-2008-r2  replication  domain-controller  unexpected-shutdown 

我有一个运行Windows Server 2012服务器和Windows 7客户端的小型网络。现在，我正在尝试使用AD集成区域设置DNS。我已经使用正确的DNS服务器IP配置了不是域成员的本地计算机，将其设置为使用适当的DNS后缀在DNS中进行注册，并在DNS注册中使用该后缀。这部分效果很好。我也有几个成员服务器作为域的一部分，它们也在DNS中注册。因此，这就是当前问题的症结所在。 当我尝试从工作组客户端对成员服务器之一的主机名进行NSLookup时，我得到以下信息： C:\Users\User>nslookup hostname Server: unknown Address: 192.168.1.26 *** Unknown can't find hostname: Non-Existent domain 当我从同一个工作组客户端ping时，它会通过自动将DNS后缀添加到主机名来成功。 C:\Users\User>ping hostname Pinging hostname.domain.com [192.168.1.28] with 32 bytest of data: Reply from 192.168.1.28: bytes=32 time=14ms TTL=128 Reply from 192.168.1.28: bytes=32 time=<1ms TTL=128 Reply from 192.168.1.28: bytes=32 time=<1ms TTL=128 Reply from 192.168.1.28: …

8 windows  domain-name-system  active-directory  windows-server-2012 

我已经用谷歌搜索了如何列出锁定的帐户，并且到目前为止找到了两种方法，两种方法都不起作用... 保存的查询- (&(&(&(objectCategory=Person)(objectClass=User)(lockoutTime>=1)))) 列出许多帐户，其中许多帐户未锁定。如果我解锁一个碰巧被锁定的锁，它仍然会被查询返回。 Powershell命令- Search-ADAccount -LockedOut 什么也没做。 所以，要么-我做错了吗？或-是否有实际可行的方法？

8 active-directory  windows-server-2008-r2 

如果您以符合规定的尺寸和格式存储员工照片，是否存在将员工照片存储在AD中的任何已知问题？ 是否有破坏或可能破坏AD数据库的临界数量？ 我正在尝试了解一些服务器团队对我们将员工照片存储在AD中的意图的深切关注……他们担心它将破坏数据库或在全球范围内发生复制问题，等等。 我们大约有3,000名员工。

8 active-directory  pictures 

对于针对Active Directory DC进行身份验证的应用程序，显然最好将它们指向主域DNS记录，而不是将特定DC用于故障转移，负载平衡等。 那些迫使您对DC的IP进行硬编码的应用程序的最佳实践是什么？我们可以对负载均衡器的IP地址进行硬编码，因此，如果一个DC断开，该应用程序仍将能够进行身份验证。有更好的选择吗？

8 active-directory  load-balancing  ldap  authentication