タグ付けされた質問 「active-directory」

Exchange 2013サーバーは、サイト間のレプリケーションの不良（他のサーバーがないため、レプリケーションがないはずです）のエラーと、関連していると思われる他のいくつかの問題を突然ログに記録し始めました。 VPNで接続された2つのサイトがあります。これはActive Directoryサイトの構成です。 各サイトには複数のサブネットがあり、サブネットとサイト間のルーティングは正常に機能しています。 ExchangeサーバーのIPアドレスがあり10.10.0.26、それはIPとDCと同じHyper-Vホスト上で実行されている10.10.0.21の一部として設定されている（写真でXXXX-DC01という名前の1） Default-First-Site。 Exchangeサーバーは、それがYGXXXサイトにあると見なします。 NTLOGON.LOGを有効にしましたが、関連する情報は次のとおりです。 サーバーが間違ったサイトを選択している理由を知るにはどうすればよいですか？

8 active-directory  exchange  exchange-2013 

Windows Server 2012 R2のテストドメインで遊んでいます。私は可能な限り最高の機能レベルで運用しており、小規模なテスト環境で下位互換性の問題はありません。ただし、私はKerberos AES認証をサポートしているにもかかわらず、どのユーザーに対してもデフォルトで有効になっていないことに気付きました。実際にユーザーのプロパティに移動し、「このアカウントはKerberos AES 128ビット暗号化をサポートしています」または「このアカウントはKerberos AES 256ビット暗号化をサポートしています」をチェックして有効にする必要があります。 （AESを要求するポリシーを設定する「保護されたユーザー」グループにテストアカウントを追加したときに、最初にこれに気付きました。その後、これらのボックスをオンにするまで、すべてのネットワークログインが失敗し始めました。） 一部のシステムの下位互換性を確保するために、これはデフォルトで無効になっている可能性があると思いますが、すべてのユーザーに対してこれを有効にする方法、または現在の動作の説明すら見つかりません。 何か案は？

8 active-directory  kerberos  windows-server-2012-r2  encryption 

Active Directoryでは、ユーザーが強力なパスワードを使用する必要があり、ユーザーが既に持っている最後の5個以上のパスワードを使用できず、パスワードの複雑さを強制するルールを設定して適用できます。サービスアカウント（パスワードリセットWebサービス）がユーザーの新しいパスワードを設定しようとした場合、ポリシーに対してチェックされ、受け入れられるか拒否されるように、このような設定を適用する方法はありますか？ サービスアカウントがパスワード変更を強制しているため、ユーザーはWebインターフェースを介して同じパスワードを入力し、何度も同じパスワードを使い続けることができます。それは彼のパスワードを変更するサービスアカウントであるため、最後の既知のパスワードに対してチェックされないため、パスワードのルールは適用されません。 プログラマーは複雑さのチェックをコーディングすることができますが、使用された最後のパスワードをチェックすることはできません。 通常のユーザーパスワードの変更と同様に、サービスアカウントによるパスワードの変更も制限されるように強制することはできますか？

8 active-directory  windows-server-2012  windows-server-2012-r2 

私は現在、私が働いている会社のActive Directoryユーザーリストを再構築している最中です。そのリストを作成した人はひどい仕事をしており、もちろん、ここではもう働いていません。 私の質問は次のとおりです 。ユーザーグラフの[メンバー]タブに含まれるすべての情報を（理想的には）含むExcelスプレッドシートが欲しいのですが。 クエリを作成しようとしましたが、結果は「メンバー」タブの実際のコンテンツではなく、何かの「メンバー」であるユーザーのリストのみを提供します。 コマンドプロンプトから、またはActive Directoryから直接、これを行う方法はありますか？ 公正な警告：VBSとPowershellについては何も知りません。

8 active-directory  export 

Powershellを正常に使用して、ユーザーがActive Directoryで認証されているかどうかを確認できます。 Function Test-ADAuthentication { param($username,$password) (new-object directoryservices.directoryentry "",$username,$password).psbase.name -ne $null } Test-ADAuthentication "test" "Password1" しかし、私は私の人生の中で次の方法を理解することはできません。 パスワードをリセットする必要があるかどうかを確認します。 送信された資格情報の確認は、最後のパスワードで機能しました。 どうすればこれに対処できますか？

8 active-directory  powershell 

PowerShell DSCを使用して、ドメイングループをローカル管理者グループに追加しようとしています。これがコードです： Configuration TestSetup { Node localhost { Group Administrators { GroupName = "Administrators" MembersToInclude = "MYDOMAIN\TheAdministratorsGroup" } } } これを実行すると、次のエラーが発生します。 PowerShell provider MSFT_GroupResource failed to execute Test-TargetResource functionality with error message: Could not find a principal with the provided name [mydomain\theadministratorsgroup] + CategoryInfo : InvalidOperation: (:) [], CimException + …

8 windows  active-directory  powershell  groups  dsc 

corp.domain.com最初にdomain.comAD DCを作成せずにActive Directoryドメインを作成する方法はありますか？ または別の言い方をすると、corp.domain.comをフォレストのルートにできますか？

8 active-directory 

現在、オンサイトサービスを提供していない支社があり、それを変更したいと考えています。最大の目標は、いくつかのファイルサーバーをセットアップすることですが、より高速なログインとDNS解決も歓迎されます。 別のサブネット/ VLAN上のいくつかのVMでいくつかの実験を行っているので、フォレストとドメインがあるとしましょうdomain.com： Officeサブネット192.168.1/24と単一のプライマリDNSゾーンを持つ単一のサイトがありますdomain.com TestSiteサブネットを持つセカンダリサイトを追加しました192.168.100/24 192.168.100DNSに逆引き参照ゾーンを作成しました Branch-DC01IPアドレスを使用して、Server 2012を実行するVM を作成しました192.168.100.1 domain.comメンバーとして追加 にAD DS読み取り専用ドメインコントローラー（RODC）としてインストールTestSite のメインDNSサーバーBranch-DC01.domain.comは127.0.0.1 新しいサーバーのDHCPスコープをセットアップし、常にDNSを更新するようにDHCPを構成する Branch-PC01Windows 8を実行するVMを作成して追加domain.com Branch-PC01192.168.100.20DHCP、DNSサーバーからのIPアドレスを取得しましたが、192.168.100.1正引きゾーンにdomain.com存在するが逆引きゾーンにはないメンバーのエントリ（重要？） 上でBranch-PC01実行nslookup domain.com-結果、メインのIPアドレスを使用して戻ってきたDCsからOfficeサイト（192.168.1サブネット） 今、これは私の心の中で正しくありません-それは戻るべきではありません192.168.100.1か？それとも、コンセプト全体を誤解していますか？そして、ログオンはどのように速くなるはずですか？ 別のDNSゾーンが必要ですか（必要でない限り、作成したくないサブドメインがない場合はどのように機能しますか）？ 私が指摘できるアイデアや記事は素晴らしいです。私は多数のTechNet記事を読みましたが、賢くはありません。 ありがとう 更新 @TheCleanerと@ charleswj81に感謝します。 私はnltestを試したところ、ブランチDCとクライアントPCの結果は同じです。 U:\>nltest /dsgetdc:domain.com /server:Branch-DC01.domain.com DC: \\Branch-DC01.domain.com Address: \\192.168.100.1 Dom Guid: d97516d3-4afb-4f0a-8c3f-04a800cd69fb Dom Name: domain.com Forest Name: domain.com Dc Site Name: TestSite Our Site Name: …

8 domain-name-system  active-directory  windows-server-2012  windows 

AD属性をクエリするPythonサービスの作成 SAS 2012上でPython-LDAP over SASL（DIGEST-MD5）を使用してLinuxでPythonを実行するWebサービスとADを統合し、AD 2012ユーザー属性（部門、部門、内線番号、電子メールなど）をクエリします。AD 2003に対するサービスに固有の問題を解決した後、新しいAD 2012に対してSPNエラーが発生し始めました。ダイジェストURIがサーバー上のSPNと一致していません。両方のサーバーのSPNリストを相互参照しましたが、それらには互いに同じ類似物が含まれています。 エラー：digest-uriは、このサーバーに登録されているLDAP SPNと一致しません 修正？ これは以下を実行することで修正されました： setspn -A ldap/<Domain_Name> <Computer_Name> 次のコマンドを実行しても、サービスアカウントを作成してもSPNエラーは修正されませんでした。 setspn -A ldap/<Domain_Name> <Domain_Name>/<Service_Account_Name> simple_bind_s（）にはSPNは必要ありません、sasl_interactive_bind_s（）にはSPNが必要です ローカルマシンのSPNリストにSPNを追加するだけで、sasl_interactive_bind_s（）を使用したPython-LDAPサービスで機能しました。また、simple_bind_s（）を使用するとSPNステップをスキップできることにも注意してください。ただし、このメソッドは資格情報をクリアテキストで送信するため、許可されません。 ただし、レコードがSPNリストに1分間しか表示されずに消えてしまうことに気づきましたか。setspnコマンドを実行してもエラーは発生しません。イベントログは完全に空で、重複はありません。ベースdnで-Fフォレスト全体の検索でチェックされ、何もありません。SPNを追加して削除し、オブジェクトからオブジェクトに移動して、どこにも隠れていないことを確認しましたが、2番目にオブジェクトをどこかに追加してから再度追加しようとすると、重複が通知されます。ですから、どこかに隠されている複製がないと私は確信しています。 ハック 今のところ、スケジュールされたタスクを実行してコマンドを再実行し、レコードをリストに保持して、サービスが「SPN Hack」という名前で適切に機能するようにします cmd.exe /C "setspn -A ldap/<Domain_Name> <Computer_Name>" SPNがリストから削除されている理由がわかるまで。 私はこの特定のADのプライマリ管理者ではありません。管理者は、ADの別のサービスからSPNを同期するサービスを実行していて、それを認識できませんか？私のタイトルは言い訳としてではなく、Active Directoryに関する私の無知を説明するためのWeb開発者です。ADをマスターユーザーDBにするように言われ、多くのことを読んでいましたが、SPNが定期的に「上書き」または「クリーンアップ」されている問題が発生している場所はどこにもありません。管理者は、SQLServerエントリ以外のSPNに精通しています。 なぜハックが必要なのですか？ これまでのところ、私のハッキングによってユーザーやサービスに問題が発生したことはなく、エラーも発生していません。そのため、管理者は実行を許可するだけなので、引き続き調査します。しかし、私は、実装が組み込まれているサービス、本質的にはcronハック/ shiverを作成するという不安定な状況に身を置いていることに気づきます。 更新 システム管理者との会話の後、ハックの上にサービスを構築することは解決策ではないことに同意しました。したがって、目的に使用できるエンドポイント暗号化を使用してローカルサービスを起動する許可を彼に与えられました。結果は同じです。SPNがクリアされる原因を監視します。ローカルバインドはPython-LDAPを使用しても問題にならず、ローカルサービスは1時間ほどですでに稼働しています。基本的にLDAPに組み込まれている機能をラップしているのは残念ですが、私たちがしなければならないことは行います。

8 active-directory  ldap  python  spn 

私は、このWindows Server 2008 R2ドメインコントローラーを、物理的なDellサーバー、モデルPowerEdge R510で実行しています。 このあたりにはいくつかの電気的な問題があるため、残念ながら停電はよくあることです。UPSはありますが、本来の信頼性がなく、サーバーが正常にシャットダウンされない場合があります。 何らかの理由で本当に理解できません。時々、この特定のDCは、クリーンでないシャットダウンの後に表示され、USNロールバックに遭遇し、降格して昇格させる必要があります。 サーバーは物理サーバーであり、スナップショット、クローン作成、および/または復元が実行されたことがないため、これはまったく意味がありません。また、追加のソフトウェアはインストールされていません。DCの機能のみを実行します。具体的には、クローン/リカバリ/ソフトウェアが何であれ存在しません。 ファイルシステムの破損は少なくともある程度は理にかなっていますが、サーバーを以前の状態に戻す方法がないため、USNロールバックは実際には意味がありません。ただし、これは過去2か月間に少なくとも3回発生したため、1回限りのクレイジーなイベントではありませんでした。しかし、私は完全に説明をすることができません。 この問題の理由は何でしょうか？

8 active-directory  windows-server-2008-r2  replication  domain-controller  unexpected-shutdown 

Windows Server 2012サーバーとWindows 7クライアントを実行している小規模なネットワークがあります。現在、私はAD統合ゾーンでDNSをセットアップしようとしています。ドメインメンバーではないローカルマシンに正しいDNSサーバーIPを構成し、適切なDNSサフィックスを使用してDNSに登録し、そのサフィックスをDNS登録で使用するように設定しました。その部分はうまくいきました。ドメインの一部として、DNSにも登録されているメンバーサーバーがいくつかあります。だから今ここで問題の核心です。 ワークグループクライアントからメンバーサーバーの1つのホスト名でNSLookupを実行しようとすると、次のようになります。 C:\Users\User>nslookup hostname Server: unknown Address: 192.168.1.26 *** Unknown can't find hostname: Non-Existent domain 同じワークグループクライアントからpingを実行すると、DNSサフィックスをホスト名に自動的に追加することで成功します。 C:\Users\User>ping hostname Pinging hostname.domain.com [192.168.1.28] with 32 bytest of data: Reply from 192.168.1.28: bytes=32 time=14ms TTL=128 Reply from 192.168.1.28: bytes=32 time=<1ms TTL=128 Reply from 192.168.1.28: bytes=32 time=<1ms TTL=128 Reply from 192.168.1.28: …

8 windows  domain-name-system  active-directory  windows-server-2012 

ロックアウトされたアカウントを一覧表示する方法をグーグル検索して、これまでに2つの方法が見つかりましたが、どちらも機能しません... 保存されたクエリ- (&(&(&(objectCategory=Person)(objectClass=User)(lockoutTime>=1)))) いくつかのアカウントを一覧表示します。その多くはロックアウトされていません。たまたまロックを解除した場合、ロックアウトされても、クエリから返されます。 Powershellコマンド- Search-ADAccount -LockedOut 何もしません。 だからどちらか-私は何か間違っているのですか？または-実際に機能する方法はありますか？

8 active-directory  windows-server-2008-r2 

従業員の写真を準拠したサイズと形式で保存した場合、ADへの保存に関する既知の問題はありますか？ ADデータベースを壊したり、破損したりする可能性のある重大な塊はありますか？ サーバーチームの一部が、ADに従業員の写真を保存するという私たちの意図に対する深い懸念を理解しようとしています...データベースが破損したり、レプリケーションの問題がグローバルに発生したりすることを恐れています。 私たちは約3,000人の従業員企業です。

8 active-directory  pictures 

Active Directory DCに対して認証するアプリケーションの場合、明らかに、フェイルオーバーやロードバランシングなどの特定のDCではなく、メインドメインのDNSレコードを指すようにするのが最善です。 DCのIPをハードコードすることを強制するこれらのアプリケーションのベストプラクティスは何ですか？代わりに、ロードバランサーのIPアドレスをハードコーディングして、1つのDCがダウンしても、そのアプリケーションが認証できるようにすることができます。より良い代替案はありますか？

8 active-directory  load-balancing  ldap  authentication 

ドメインに参加しているワークステーションからAD DSドメイン/フォレストの機能レベルを定義することは可能ですか？できればCLI / PSを使用し、可能であればドメイン管理者権限なしで...どうすれば達成できますか？

8 domain  active-directory  directory-services