问题[active-directory](server)

如果这个问题偏离了主题，我深感抱歉；我正在尝试解决一些超出我专业领域的问题。

我最近将一个面向内部的 Web 应用程序迁移到 IIS。我还启用了以前没有使用的 Windows 身份验证 (IWA)。我发现的问题是，我的用户帐户（显然只有我的用户帐户）有时（并非总是）被身份验证过程错误识别。

以下是我的网站的 IIS 身份验证设置的详细信息：

• 我已启用 Windows 身份验证并禁用其他所有内容（包括匿名身份验证）。
• Windows 身份验证使用内核模式身份验证和Negotiate提供程序。

关于我提到的错误识别：

• 我在同一个 AD 域中有两个用户帐户。分别称为acct1和acct2。我通常以 身份登录，在需要提升权限时acct1切换到。acct2
• 我登录到运行 IIS 的 VMacct2来设置站点。
• 当我返回本地电脑访问该网站时，该网站将我识别为acct2，尽管我以 的身份登录到我的电脑acct1。
• 访问过该网站的其他人都已被正确识别，甚至包括像我一样拥有多个帐户的人。
• 如果我以 身份登录并从另一台 PC 访问该网站acct1，则该网站会正确识别我为acct1。
• 反常的是，如果我从服务器机器本身访问该网站，我以 的身份登录acct2，它会将我识别为acct1。
• 不管怎样，acct2我在本地电脑上具有管理员权限，但在访问该网站的其他电脑上却没有。
• 这种情况已经持续了一周多，即使重启本地电脑后问题仍然存在。不同的浏览器也会出现这种情况。

如果我将 IWA 提供程序从 切换Negotiate到NTLM，那么我会看到以下内容：

• acct1当我从本地电脑访问该网站时，我就能正确识别。
• 当我从 Web 服务器计算机访问网站时，系统提示我输入凭据。但是，它不接受acct1或 的凭据acct2。

我不太关心从服务器访问网站，但我从 PC 访问网站时需要正确识别身份。我想使用Negotiate而不是NTLM。

我是一名开发人员，而不是系统管理员，但我正在尝试寻找任何线索，以帮助我缩小问题范围，并可能为我们的基础设施团队指明正确的方向。这听起来像是 Active Directory 配置或 Kerberos 问题吗？

该网站是一个 Python Flask 应用程序，通过 Python 库在 IIS 中作为 FastCGI 应用程序运行wfastcgi。该网站读取请求变量的值REMOTE_USER以获取 IWA 身份验证过程的结果。

我们的域控制器崩溃了，我们无法恢复它。我们的计算机已通过身份验证并连接到旧域控制器，漫游配置文件已禁用。我们的用户将文件本地保存在 c:\users\mylocaluser\ 中，并使用域控制器进行网络身份验证。

现在，我们需要恢复本地用户的文件，但是当我们向新的域控制器进行身份验证时，旧文件就消失了。

我们尝试将硬盘安装到另一台电脑上，但文件似乎仍然消失了。

我搜索了一下，发现这些文件可能位于 c:\windows\csc，但我们无法访问该文件夹。所以我们陷入困境。

您是否遇到过类似的问题？

我有一个包含 Windows Server 2003 Active Directory 服务器和 Windows 11 计算机的网络。我的计划是用 Fedora Linux Server Edition - fedora 40 替换 Windows Server 2003。我可以使用 Windows 11 客户端和一个 Fedora Linux 40 客户端对其进行测试。

旧境界是SONCANALS。新境界是SCNG。

我遵循Fedora 杂志的指南。

配置

• 服务器 IP 是10.216.1.16，域名是scng.educaib

• 服务器主机名是l1.scng.educaib

• samba.conf：

  cat /etc/samba/smb.conf
  # Global parameters
  [global]
          dns forwarder = 1.1.1.1
          netbios name = L1
          realm = SCNG.EDUCAIB
          server role = active directory domain controller
          workgroup = SCNG
          idmap_ldb:use rfc2307 = yes
          ldap server require strong auth = no 
  
  [sysvol]
          path = /var/lib/samba/sysvol
          read only = No
  
  [netlogon]
          path = /var/lib/samba/sysvol/scng/scripts
          read only = No
  

• Kerberos 配置：

  # cat /etc/krb5.conf.d/samba-dc 
  [libdefaults]
          default_realm = SCNG.EDUCAIB
          dns_lookup_realm = false
          dns_lookup_kdc = true
  
  [realms]
  SCNG.EDUCAIB = {
          default_domain = SCNG
  }
  
  [domain_realm]
          l1.scng.educaib = SCNG.EDUCAIB
  

• /etc/systemd/resolved.conf.d/custom.conf：

  [Resolve]
  DNSStubListener=no
  Domains=scng.educaib
  DNS=10.216.1.16
  

我有一台装有 Fedora 40 的机器，我用它来测试 samba。当我测试时，一切都很好（教程指南中的“测试”部分）。当我运行 时realm discover，我只能得到旧领域，而不是新领域：

realm discover -v
 * Resolving: _ldap._tcp.soncanals
 * Performing LDAP DSE lookup on: 10.216.1.2
 * Performing LDAP DSE lookup on: 10.216.1.10
 * Performing LDAP DSE lookup on: 10.216.1.4
 * Successfully discovered: soncanals
soncanals
  type: kerberos
  realm-name: SONCANALS
  domain-name: soncanals
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-common
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd-ad
  required-package: adcli
  required-package: samba-common-tools

在 Windows 中，当我尝试加入时SCNG，系统提示我以管理员身份登录，但是当我输入凭据时，它花费的时间太长并且会离开对话框。

我该如何对这里的问题进行分类？例如，我可以看到哪些日志（我有很多日志/var/log/samba/）。我的 Samba 版本是 4.20.5。

我的首要任务是加入新域并以该域中的普通用户身份登录 Windows。我暂时放弃共享目录。

编辑（2024-11-11）：Fedora Magazine 指南中的测试已通过：

测试

连接测试

$ smbclient -L localhost -N
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
        sysvol          Disk      
        netlogon        Disk      
        IPC$            IPC       IPC Service (Samba 4.21.1)
SMB1 disabled -- no workgroup available

$ smbclient //localhost/netlogon -UAdministrator -c 'ls'
Password for [SCNG\Administrator]:
  .                                   D        0  Thu Oct 31 10:17:05 2024
  ..                                  D        0  Thu Oct 31 10:17:05 2024

                15663104 blocks of size 1024. 12979380 blocks available

DNS 测试

$ host -t SRV _ldap._tcp.scng.educaib.
_ldap._tcp.scng.educaib has SRV record 0 100 389 l1.scng.educaib.
$ host -t SRV _kerberos._udp.scng.educaib.
_kerberos._udp.scng.educaib has SRV record 0 100 88 l1.scng.educaib.
$ host -t A l1.scng.educaib.
l1.scng.educaib has address 10.216.1.16

Kerberos 测试

$  kinit administrator
Password for [email protected]: 
ladmin@l1:~$ klist
Ticket cache: KCM:1000
Default principal: [email protected]

Valid starting     Expires            Service principal
11/11/24 10:15:10  11/11/24 20:15:10  krbtgt/[email protected]
        renew until 18/11/24 10:15:06

我们有一个旧的AD 用户帐户，该帐户具有静态密码，用于多台机器上的计划任务和服务。我知道 gMSA 更好，并且正在单独安装它，但这个帐户需要再运行一段时间。

回到此帐户：我想更改密码以满足当前密码强度标准并确保 AES 哈希值，但我不确定是否需要在两次更改之间间隔 10 小时进行更改，或者是否可以连续更改密码并将密码更新推送到受影响的端点。

如果有人可以澄清 2x、10 小时间隙重置方法，或者是否可以为此目的背靠背进行，我将不胜感激。

谢谢！

要启用 LDAPS，我需要两个域控制器上的证书。我无法使用证书服务，因为我没有多余的 Windows 机器，而且在 DC 上安装该角色是大忌，所以我宁愿使用自签名证书，其中 SAN 覆盖两个 DC（FQDN 和短机器名称）。

我应该注意什么？例如：

• 证书是否应具有最长有效期（即 1 年、5 年、10 年、100 年）？
• 这会破坏/影响与客户端机器的连接吗（不太可能，因为 DC 目前没有证书）；
• EFS - 没有 CA 意味着客户端自己负责他们的密钥。自签名证书会发生什么？

我正在为网络上的 MAB（Mac 身份验证绕过）设备设置用户帐户。在 GPO 中，我为要创建的设备帐户创建了一个 OU，并设置了块继承，这样密码策略就不会应用于设备帐户。密码策略确实适用于域控制器。当我为设备创建帐户时，用户名/密码必须是设备的 mac 地址。问题是，即使在 OU 上设置了块继承，当我必须在该 OU 中创建用户帐户时，它仍然会强制执行密码策略。如果不关闭带有密码策略的策略，有没有办法为 MAB 设备创建用户帐户？

我正在为防火墙设置 OU GPO 并根据 CIS SCA 建议设置其他设置。我在防火墙设置方面遇到了问题。OU 中的 PC 正在获取所有 GPO 配置，正如您所期望的那样，并且一切正常；但是，经过一段未知的时间（几个小时或第二天），域控制器上的 OU 的“具有高级安全设置的 Windows Defender 防火墙”GPO 设置恢复为默认值，就好像我什么都没做一样 - 所有其他 GPO 设置都按我之前设置并保持不变。

因此，问题出在域控制器上，而不是 OU 中包含的客户端上。

计算机配置\策略\Windows 设置\安全设置\高级安全 Windows Defender 防火墙

设置： 状态：

• 启用所有 3 个（域、私人、公共防火墙）
• 阻止传入（默认）
• 允许传出（默认）

设置：

• 显示通知=否
• 规则合并：应用本地防火墙规则 = 否
• 应用本地连接安全规则 = 否

日志记录

• %SystemRoot%\System32\logfiles\firewall\domainfw.log（分别为 privatefw.log 和 publicfw.log）
• 大小限制 16,384
• 记录丢弃的数据包 = 是
• 记录成功的连接

注意*防火墙已成功写入所有 3 个文件。

• Windows Server 2019，PC 为 Dell Wyse ThinClients Windows 10 Enterprise LTSC
• 除默认域和默认域控制器外，没有其他 GPO......

我被难住了，有人见过这种情况或有什么建议吗？

感谢您的时间，

我正在创建一个Active Directory 实验室，以Windows Server 2022作为域控制器。
我想使用powershell删除域上密码的复杂性要求。

我确实尝试使用以下命令：

$passwordPolicy = Get-ADDefaultDomainPasswordPolicy
$passwordPolicy.ComplexityEnabled = $false
Set-ADDefaultDomainPasswordPolicy $passwordPolicy

没有错误消息。但复杂性要求仍然存在，如下所示ComplexityEnabled：

> Get-ADDefaultDomainPasswordPolicy


ComplexityEnabled           : True
DistinguishedName           : DC=poudlard,DC=wizard
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 00:00:00
MinPasswordLength           : 0
objectClass                 : {domainDNS}
objectGuid                  : 6f5b0803-0227-4454-899f-28df34343bfa
PasswordHistoryCount        : 0
ReversibleEncryptionEnabled : False

我的用户属于Domain admins：

PS C:\Users\vagrant> whoami /groups

GROUP INFORMATION
-----------------

Group Name                                      Type             SID                                          Attributes
=============================================== ================ ============================================ ===============================================================
Everyone                                        Well-known group S-1-1-0                                      Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators                          Alias            S-1-5-32-544                                 Mandatory group, Enabled by default, Enabled group, Group owner
BUILTIN\Users                                   Alias            S-1-5-32-545                                 Mandatory group, Enabled by default, Enabled group
BUILTIN\Pre-Windows 2000 Compatible Access      Alias            S-1-5-32-554                                 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NETWORK                            Well-known group S-1-5-2                                      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users                Well-known group S-1-5-11                                     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization                  Well-known group S-1-5-15                                     Mandatory group, Enabled by default, Enabled group
poudlard\Domain Admins                          Group            S-1-5-21-1683605283-797255120-3757226006-512 Mandatory group, Enabled by default, Enabled group
Authentication authority asserted identity      Well-known group S-1-18-1                                     Mandatory group, Enabled by default, Enabled group
poudlard\Denied RODC Password Replication Group Alias            S-1-5-21-1683605283-797255120-3757226006-572 Mandatory group, Enabled by default, Enabled group, Local Group
Mandatory Label\High Mandatory Level            Label            S-1-16-12288

可能存在什么问题？

我们使用本地 Active Directory 作为域，并使用 Microsoft Office 365 订阅来处理电子邮件。我们还使用 MIIS 来同步它们。

我注意到，当我将用户从本地 AD 中的一个 OU 移动到另一个 OU 时，该用户会失去 Microsoft 365 许可证，并且他的电子邮件帐户会停止工作。

经过调查和询问，我在 MIIS 客户端中找到了有关这些已移动用户的记录。我看 MIIS 似乎以某种方式配置为在用户移动时删除 Microsoft 帐户。

有人可以指导我纠正这个致命的错误吗？

我们刚刚将 4 个 AD 安全组转换为启用邮件。这些组授予对应用程序不同区域的访问权限，我们偶尔需要通知用户该应用程序的计划内中断、意外中断等。这就是我们将这些组转换为启用邮件的原因。

但是，我们的一些用户属于多个群组。我想向这 4 个群组发送一封电子邮件来通知用户。如果我这样做，属于 1 个以上群组的成员将收到多少封电子邮件？

例如：

Member A在group 1和group 2。我向 两个小组都在现场的地方发送一封电子邮件To。会收到多少封电子邮件Member A？

我通常会自己测试这个，但是创建一个新的安全组需要管理团队的 CR 和其他东西，所以我希望有人能给我答案。