タグ付けされた質問 「active-directory」

RHEL6でsssdを使用してActive Directory Kerberosで認証するようにいくつかのLinuxサーバーを構成しました。パスワードなしのログインを期待してGSSAPI認証も有効にしました。 しかし、パスワードなしでPutty（0.63）を認証するようには思えません。 GSSAPIは、AD認証用に構成されたLinuxシステム（openSSHクライアント）間で動作し、.ssh / config設定を使用してGSSAPIを有効にします。 Cygwin（openSSHクライアント）からも機能し、同じ.ssh / config設定を使用し、kinitコマンドを実行してチケットを取得します。 また、SambaはすべてのLinuxシステムで共有します。これには、ホームディレクトリーがWindowsエクスプローラーからパスワードなしで機能します（GSSAPIがそこで機能するかどうかはわかりません）。 これをトラブルシューティングするにはどうすればよいですか？私のユーザーのほとんどはパテを使用しています。また、私はWindows管理者ではないため、ドメインコントローラーで何もできません。私のアカウントには、ADドメインにサーバーを追加する権限しかありません。 パテSSHパケットロギングをオンにしました。私はこの種の興味深いものを見つけました、この情報をどうするかまだわかりません： Event Log: Server version: SSH-2.0-OpenSSH_5.3 Event Log: Using SSH protocol version 2 Event Log: We claim version: SSH-2.0-PuTTY_Release_0.63 Outgoing packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Incoming packet #0x0, type 20 / 0x14 (SSH2_MSG_KEXINIT) Event Log: Doing …

9 linux  active-directory  kerberos  putty  gssapi 

最近のランサムウェアのアウトブレイク（Cryptolocker / Cryptowall / etc。）によって生成されたワークロードのため、最近、一時ディレクトリからのプログラム実行をブロックするソフトウェア制限ポリシーの実装を任されました。これは通常十分に機能しますが、ソフトウェアをインストールする必要がある場合は、これらのソフトウェア制限ポリシーによってインストーラーがマシンの一時ディレクトリにアクセスできないという問題があります。 Active Directory階層は基本的に物理サイトのラインに沿って編成されており、ADオブジェクトはドメインルートとその特定のサイトOUからそれぞれ約数十のGPOを継承します。そのため、ドメインルートからブロックされたポリシーOUを作成するオプションはありません（サイト固有のグループポリシー設定を継承しないと、マシンに大きな問題が発生し、リモートユーザーはそれらを解決するのに十分なスキルがありません） ）、または子OUに近いグループポリシーオブジェクトを再リンクする（これには数百のリンク解除および再リンク操作が含まれるため、私は望んでいません）、または継承をブロックして子OUを作成します（私が持っているため）その場合に行うべき数百のリンク操作）。 とはいえ、ソフトウェアを時々インストールできるように、ソフトウェア制限ポリシーGPOの適用を一時的に停止する方法が必要です。各サイトで子OUを作成し、逆ソフトウェア制限ポリシーをリンクして、最初にこれを解決しようとしました。逆ポリシーの優先順位が高いと、継承されたポリシーが無効になると考えていましたが、まったく機能しませんでした-RSOPそのコンピューターは無料disallowでunrestrictedルールを取得しておりdisallow、そのシナリオではルールが勝ちます。 つまり、これらすべてを念頭に置いて（すべてのGPOを再リンクできず、単純な継承ブロックOUを作成できず、優先順位の高いGPOで問題が解決されないように見えます）、[一時的に]何ができますか継承されたソフトウェア制限GPOの適用をブロックしますか？Server 2008 R2 FLドメイン/フォレスト上のWindows 7クライアントを想定しています。

9 windows  active-directory  group-policy 

私はあまりMicrosoft管理者ではありません。ただし、私は、新規および既存のMicrosoft Exchangeデプロイメントを広範囲に使用しています。それはまさにキャリアアークが行った方法です。 私はローカルの「PCの人」に満足していない15人のユーザーの小さな顧客と協力しています。彼らは私にいくつかのシステム停止の間に介入するように頼んだ。今朝の「インターネットにアクセスできません」という緊急事態で気付いたのは、クライアントのWindows SBS 2011サーバーがオンプレミスであったことです。 不正なDHCPサーバーが電話システムで誤って起動され、SBS DHCPサービスが実際にシャットダウンしました。これが通常のWindowsサーバーで発生することはなかったので、ダウンタイムと混乱を引き起こしました。 メインのDHCPスコープは少し奇妙に見えますが、/ 24サブネット全体を定義しますが、大規模なスワスを除外しています。ローカルPCリソースは、このように構成する必要があると言います。そうでない場合、「SBSは機能しません...」 作成されたように見える多くの面白いOUがあります。主に親「MyBusiness」の下にあります。 Exchangeメールは複雑で、デスクトップユーザーはPOP3アカウントとMAPIアカウントの両方を必要とし、受信はオフサイトサーバーに行きます。私はそれを整理することができますが、偶然にもExchangeがライセンスされていないことにも気づきました。このサーバーは3年間運用されていますが、これは構成上の問題のようです。 私の推奨は、10ユーザーのビジネスであっても、Small Business Serverなどを回避することです。しかし、その意見は、SBSと伝聞に精通していないことから形成されました。短所・短所をもっとはっきりと知りたい。 そこにある任意の私が顧客にケースを作る過程で知っておくべき他の癖は？ SBSに関連する非常に多くの奇妙な動作と制限があることを考えると、SBS配置の意図されたまたは理想的な使用例は何ですか？ Windows Standard 2012r2サーバーの新しいセットを展開できると仮定した場合、SBSからの移行に大きな注意点はありますか？

9 active-directory  exchange  windows-server-2012-r2  windows-sbs-2011 

ktpassWindows Server側のユーティリティを使用せずにクライアントマシンから直接キータブファイルを作成できるかどうかを知りたいのですが。 これが必要な主な理由は、いくつかのシェルスクリプトを使用して、LinuxマシンのWindows Active DirectoryからのKerberos認証の統合を自動的に有効にするためです。 ありがとう

9 active-directory  windows  kerberos 

realmdUbuntu 14.04 LTSからActive Directoryドメインに参加するために使用したいと思います。 これを行うには、realmd次のコマンドを使用して、いくつかの依存関係をインストールしましたaptitude install realmd sssd sssd-tools samba-common krb5-user。 インストール後、realm --verbose join ad.example.com -U Administrator管理者パスワードを要求するコマンドを使用してドメインに参加しようとしましたが、次の出力でクラッシュしました。 * Resolving: _ldap._tcp.ad.example.com * Performing LDAP DSE lookup on: 10.7.0.2 * Successfully discovered: ad.example.com Password for Administrator: * Unconditionally checking packages * Resolving required packages * Installing necessary packages: samba-common-bin * LANG=C LOGNAME=root …

9 active-directory  sssd  ubuntu-14.04  linux 

sssdKerberos TGTが機能するADバックエンドを使用して、FreeBSD 10.0のWindows Server 2012 R2で実行されているActive Directoryからユーザーを認証するために必要な手順は何ですか？

9 active-directory  freebsd  kerberos  windows-server-2012-r2  sssd 

私は昨年Windows 2008 R2サーバーを構築しましたが、それ以来、管理者特権のアカウントが1日に10〜12回ロックされています。多くの調査とテストの結果、サーバーがグループポリシーの更新に失敗するたびに（約90分ごとに）アカウントがロックされていることがわかりました。他の誰かがこれを見たことを示す情報をウェブ上で見つけられなかった、そして私はそれが自分自身を信じられないほど見つけた。 サーバーに3つのシステムイベントが記録されるたびに： イベントID 14：Credential Managerに保存されているパスワードが無効です。これは、ユーザーがこのコンピューターまたは別のコンピューターからパスワードを変更したことが原因である可能性があります。このエラーを解決するには、コントロールパネルで資格情報マネージャーを開き、資格情報contoso \ meのパスワードを再入力します。 Credential Managerにエントリがありません。これは、Credential Managerサービスを無効にするかどうか、ログオンしているかどうか、ログアウトしてローカル管理者アカウントを使用してプロファイルを削除するかどうかに関係なく発生します。 イベントID 40960：セキュリティシステムは、サーバーcifs / ContosoDC.contoso.comの認証エラーを検出しました。認証プロトコルKerberosからのエラーコードは、「要求された無効なログオン試行またはパスワード変更試行が多すぎるため、ユーザーアカウントは自動的にロックされました。（0xc0000234）」でした。 - イベントID 1058： グループポリシーの処理に失敗しました。Windowsはファイル\ contoso.com \ SysVol \ contoso.com \ Policies {78719F0C-3091-4B5C-9BC3-6498F729531E} \ gpt.iniをドメインコントローラーから読み取ろうとしましたが、失敗しました。このイベントが解決されるまで、グループポリシー設定は適用されない場合があります。この問題は一時的なものである可能性があり、次の1つ以上が原因である可能性があります。a）現在のドメインコントローラへの名前解決/ネットワーク接続。b）ファイル複製サービスの待ち時間（別のドメインコントローラーで作成されたファイルが現在のドメインコントローラーに複製されていません）。c）分散ファイルシステム（DFS）クライアントが無効になっています。 私はアイテムをacでチェックしました、何もそうではないようです。 ユーザーアカウントがロックされていないことを確認し、サーバーでgpupdateを実行してから、すぐにロックされるユーザーアカウントを再確認することで、これを徹底的にテストしました。ロックアウトツールを使用して、すべてのロックアウトがこの特定のサーバーから発生していることを明らかにしました。ユーザーアカウントには関連付けられたメールアドレスがなく、私は既知のロックアウト問題の通常の配列を広範囲にわたって調査しました。 私のための手がかりはありますか？この運用サーバーを停止し、ADでそのコンピューターオブジェクトをリセットする準備をしていますが、それが役立つことはわかりません。

9 windows-server-2008-r2  group-policy  active-directory 

ドメインPCで断続的に遅いログインを診断するのに苦労しています。 この問題が発生しているネットワークに関する情報： 私のドメインは5つのサイトにまたがっており、すべてVPN接続です。 DCは2003、2008、2012の混合です。ドメインの機能レベルは2003です。 クライアントは主にWindows 7 x64です。 私たちは、WMI、グループ基本設定項目レベルのターゲティング、およびGPPプリンターの展開を使用するものを含むグループポリシーを使用します。 移動プロファイルは使用しません。 ほとんどの場合、以前にマシンを使用したことがあるユーザーにとっては、ログインは問題なく迅速に機能します。新しいコンピュータへの最初のログインは常に遅いですが、それは予想されています。 問題は主にラップトップにあるようです。自宅でドメイン以外のネットワーク接続を使用しているか、別の場所に移動した場合（まだドメインネットワーク上にありますが、ADサイトは異なり、有線でもワイヤレスでも問題ないようです）、ログインには3時間もかかります。ユーザーがパスワードを入力してから、実際にデスクトップが表示されるまでの時間。また、ターミナルサーバーで断続的に遅いログインが発生します。 残念ながら、それは断続的な問題であり、私はそれを再現する信頼できる方法を見つけていません。私の疑いは、それがグループポリシーの設定に関係しているということですが、実際にはそれを証明するものはありません。遅いログインの特定の種類のアイテムレベルのターゲティングを非難するマイクロソフトKBの記事を見ましたが、それが実際に原因であるかどうかを判断するためのガイダンスは提供されていません。 どのログとツールを使用して、ログインが遅い原因を特定できますか？ ログインを高速化するために、どのグループポリシー設定を使用するか、可能であれば回避する必要がありますか？

9 active-directory  login  diagnostic 

GPOソフトウェアインストールポリシーを使用して最新のAVスイートをインストールしたいと考えています。（以下のスクリーンクリップのように。） 残念ながら、DFSを使用する要求が拒否されたため、環境内のサイトごとにGPOを作成する必要があります（各サイトは独自のサブネットです）。私が抱えている問題は、多くのユーザーがサイト間を移動するため、別のサイトに移動すると、新しいGPOを取得し、以前のGPOのスコープから外れることです。 現在のPCにアプリケーションが既に存在する場合、GPOソフトウェアのインストールによってアプリケーションが再インストールされるかどうかに関する具体的なドキュメントが見つかりません。私は、コンピューターが範囲外になったときにアプリを終了するオプションを使用します。 私の調査から、GPOはGPOのバージョンが変更された場合にのみ適用されることがわかりましたが、実際のMSIはどうですか？ 人々が先送りしたがバックアップできない2つのシナリオを見つけました。 GPOは、インストールされたプログラムのリストをチェックするWindowsインストーラーサービスを呼び出し、現在のMSIバージョンが存在しない場合にのみインストールします。 GPOのインストールでは、独自のソフトウェアのリストとともに独自のAPPキャッシュが保持され、アプリが既にインストールされている場合でも、そのリストにない場合はアプリがインストールされます。 誰かが私のために正しい情報を確認できますか？ 編集：応答の人たちのおかげで、私はソフトウェアを展開する他の代替方法を知っていますが、私が求めているのは、GPO展開がパッケージが既にワークステーションに存在する場合にパッケージを再インストールするかどうかについての具体的な答えです。

9 windows  active-directory  group-policy 

私たちは、BYODとActive Directoryが混在する環境（Windows Server 2012 Standard、Windows 7 Enterprise）を備えた小規模な300シートの組織であり、ドメインでの組織のドメイン名を解決するための非常に特定のスコープの障害を含む非常に奇妙な問題が発生しています-参加、会社管理の機械。この説明では、ドメイン名の代わりにcompany.comを使用します。 バックグラウンド： Active Directoryドメインコントローラーは172.16.1.3にあります AD / DCマシンはDHCP、DNS、およびHTTP（IIS）も実行しています company.comおよびsubdomain.company.comにある私たちの組織のWebサイトは、AD / DCマシン上のIISによってホストされています AD / DCサーバーが内部DNS解決に使用されるが、別のオフサイトサーバーがパブリッククエリのDNS解決を提供する分割DNSシナリオがあります。 company.comおよびsubdomain.company.comに対応するIPアドレスは、ネットワークのエッジでファイアウォールによって使用されるパブリックIPアドレスです（AD / DC DNSサーバーとオフサイトDNSサーバーの両方）。 ファイアウォールは、NAT用に正しく構成されており、パブリックIPアドレスで受信したHTTPおよびHTTPSリクエストをAD / DCサーバーの内部IPに渡し、反映します。 シナリオ1： ドメインに参加しているWindows 7 Enterpriseマシンのユーザーは、DHCPサーバーによって発行されたローカルアドレス172.16.6.100 / 16でローカルネットワークに直接接続されています。 DNSサーバーエントリはDHCPによって提供されます（172.16.1.3） このユーザーは、company.comおよびsubdomain.company.comでホストされているWebサイトにアクセスできます 編集： nslookupはこのシナリオで実行され、内部DNSサーバー（172.16.1.3）から適切なDNSレコードを正しく返します シナリオ2： 同じドメインに参加しているWindows 7 Enterpriseマシン上の同じユーザーが家に帰り、住宅用ISPを使用してインターネットに接続します クライアントマシンのIPおよびDNSサーバーエントリはDHCPによって提供されます このユーザーは、google.comなどのインターネットリソースにアクセスできます このユーザーは、company.comまたはsubdomain.company.comの Webサイトにアクセスできません（「ホストが解決されていません」エラーが返されます） このユーザーは、上でnslookupを実行するとcompany.com彼らはDO DNSが提供する正しい公開IPアドレスを受け取ります IPアドレスへのHTTP / HTTPSリクエストは成功し、ウェブページはサーバーによって適切に返されます この問題はすべてのWebブラウザーで発生します …

9 domain-name-system  active-directory  windows-7  windows-server-2012 

PowerShellを使用して+IS_INTER_SITE_AUTO_TOPOLOGY_DISABLED、PowerShellのようにADサイトオプションを見つけるにはどうすればよいですか？私は次のコマンドをいじってみましたが、何か役に立つものを吐き出すことができません。 Get-ADObject -Filter 'objectClass -eq "site"' -Searchbase (Get-ADRootDSE).ConfigurationNamingContext` -Properties options

9 active-directory  powershell 

ドメインに参加しているWindows PCがあり、ドメインコントローラーがオフラインになった場合、クライアントではどのような動作が期待できますか（2番目のDCがないと仮定して？） ユーザーはログオンできますか？あるいは、より良い質問ですが、ログイン機能はどのように変更されますか？ 明らかにDC上のファイル共有は機能しませんが、クライアント間、またはクライアントとメンバーサーバー間の共有はどうでしょうか。 DCが回復したら、クライアントは再起動、ログオフ/ログインする必要がありますか？DCから切断されることによる長期的な影響はありますか？ 最終的には、DCがオフラインの場合にユーザーから受け取るはずの苦情に興味があります。私がカバーしていない他の重要な情報があれば遠慮なく言ってください。

9 active-directory  domain  domain-controller 

DNSサーバーとして頻繁に使用されているActive Directoryドメインコントローラーの廃止プロセスについては、2つの考え方があります。 送信DCのIPアドレスを新しいDCに追加し、DNSがそのアドレスでリッスンしていることを確認します。 古いDCを降格し、DNSの役割はそのままにして、新しいサーバーにグローバルDNSフォワーダーを構成します。 明らかに、すべてのサーバーとデバイスが新しいサーバーのプライマリIPアドレスを使用するように設定されるまで、どちらも一時的なギャップですが、環境のサイズによっては、移行期間が比較的長くなる場合があります。 ここに明確なベストプラクティスがありますか？

9 windows  domain-name-system  active-directory 

既定のアプリプールID [IIS APPPOOL {アプリケーションプール名}]にActive Directory権限を割り当てるにはどうすればよいですか？ これを実行して、WebアプリケーションがActive Directoryグループ、ユーザーを照会できるようにし、特定のユーザー名またはグループ名の存在を確認します。 ありがとう。

9 active-directory  iis  application-pools 

新しくインストールしたWindows Server 2012マシンをドメインコントローラーに昇格できません。2つの既存のドメインコントローラーがあります。プライマリはWindows Server 2003レベルで、W2003Serverを実行しており、セカンダリはWindows Server 2003 R2を実行しています。（更新：もともとこの質問は、ドメインコントローラーを配置できない場合の致命的でない警告メッセージについて尋ねていました。これは、Windows Server 2003からアップグレードする場合は通常のことです。 Active Directoryフォレストは2003年の機能レベルにあるため、警告を打ち消す必要があると私は考えています。同様の恐ろしいエラーをいくつか続けた後、最終的にAdPrep関連エラーである実際のエラーに到達しました。） 新しいWin2012サーバーボックスでは、ドメインのメンバーであるサーバーとしてドメインに参加しても問題なく動作しました。しかし、AD DS Cfg Wizは約100秒間フリーズし、ウィザードの1ページから2ページ（サイト名コンボボックスとDSRMパスワード用の2つのパスワード入力編集ボックスが表示されます）になり、Active Directoryドメインサービスでこのエラーが発生します。構成ウィザード。 最初はこれが本当のエラーだと思った。しかし、私が過去を続けるのは、私の道の単なる障害です。 ドメインコントローラオプション Windows Server 2008、Windows Server 2008 R2、またはWindows Server 2012を実行しているドメインコントローラーをこのドメインに配置できませんでした。読み取り専用ドメインコントローラーをインストールするには、ドメインにWindows Server 2008、Windows Server 2008 R2、またはWindows Server 2012を実行しているドメインコントローラーが必要です。 [OK] 次に、「このチェックボックスをオンにできないため、グレー表示になっています」という同様のメッセージがいくつか表示されます。 次にこれ： Error determining whether the target environment requires adprep: Validation error: Validation error: Unable …

9 active-directory  windows-server-2012