問題タブ [domaincontroller]

DC からのセキュリティ監査エラーであるユーザー名を含む特定のイベント ログを取得しようとしています。powershell では、次のような方法で簡単に実行できます。

変数は次のようになります: $DC = "MyDomainController" and $user = "jdoe"

これは、私が見ているDCからの人のユーザー名でセキュリティ監査の失敗である4つのイベントログを引き出しますが、vb.netでこの動作を見つけたり再現したりすることができませんでした。数日間、DC のすべてのログを書き込んで取得しましたが、フィルタリングはしていません。ヘルプやガイダンスは素晴らしいものです。

こんにちは、Active Directory に接続するための vCenter のセットアップで行き詰まりました。

「エラー: ドメインのドメイン コントローラーが見つかりません。」と表示されますが、dig コマンドでドメイン (_ldap._tcp.domain.domain) の SRV レコードを検索できます。

そこで、vCenter マシンで DNS パケットをダンプしたところ、「_ldap._tcp.domain.domain」の SRV レコードの検索に成功した後、vCenter が「_ldap._tcp.dc._msdcs. domain.domain」が何らかの理由で失敗しました。

この問題を解決する方法を知っていますか??

PC を Windows ドメインに追加すると、実際には何が行われるのでしょうか? たとえば、発行後、

それ以降、ドメインコントローラーは、どのPCがどのアカウントに関連付けられているかをどのように認識しますか(ドメインコントローラー上)。

• PCのIPアドレス/MACアドレスを考慮していますか
• および/または PC は、トークンを使用したチャレンジ応答のために継続的に協力する必要がありますか?

これが Samba と Windows の間で似ていることを願っていますが、コンテキストが必要な場合は、これが Samba PC (クライアント) と Microsoft ドメイン コントローラー (Windows サーバー 2012) の間でどのように機能するかを知りたいと思います。

私の目標は、VM を新しい状態からスピンアップできるようにすることですが、おそらく別の IP を使用して、VM のその特定のインスタンスをドメイン コントローラーに手動で再追加する必要はありません。

WDS サービスが実行されているかどうかを確認する方法を教えてください。

パッチ適用後、WDS サービスは無効になります。サーバーは、WDS を開始するために再起動を要求しました。WDS が実行されているかどうかを確認する方法を教えてください。

Windows Server 2012 R2 の RDP にログオンできません。管理者グループとリモート デスクトップ ユーザー グループを持つローカル ユーザーをセットアップしました。しかし、問題は、コンピューターがドメインに属しており、管理者コマンドの非対話型アクセスしか持っていないことです。ドメインにログオンせずに、そのシステムにログオンしたいと考えています。ドメインにログインせずに「システム」にログインしたいだけです。どの cmd コマンドでもうまくいきます。

助けていただければ幸いです！

Azure Vnet に配置されたメイン DC とオンプレミス DC2 があります。すべてのスタッフのコンピューターとラップトップがドメインに参加しています。

私の同僚は、オフサイトにいるときに Azure 上のリソースにアクセスしたいと考えています。したがって、Vnet へのポイント対サイト VPN を確立する必要があります。Point-to-Site VPN 接続を行うために、コンピューターはドメイン管理者権限を提供するように求めます。

私は調査を行い、人々はドメインユーザーにローカル管理者権限を与えることを提案しましたが、これは適切ではないと思います。この場合、会社のラップトップを制御することはできません。

この問題を修正して、ドメイン管理者権限を提供せずにポイント ツー サイト VPN 接続を実行できるようにする方法はありますか? ありがとう。

アプリを使用していて、AD ドメインにログインしているユーザーのユーザー名 (ユーザー プリンシパル名または samaccountname) を見つける方法はありますか? また、ユーザーがプログラムで接続しているドメインを見つけることはできますか?

dsconfigad -showコマンドラインはドメインを表示しますが、ユーザー名は表示しません。

NSUsername() or NSFullUserName()ユーザーが手動で変更できるため、機能に頼ることはできません。

どんな助けもかなりのものです。

認証に LDAP を使用するアプリケーションがあります。アプリケーションは、F5 を使用して負荷分散された構成で 4 つの MiddleWare サーバーにデプロイされます。AD ストアには 8 つのドメイン コントローラーがありますが、すべての MW サーバーで、ActiveDirectory に到達できないことを示しているように見えるエラーが毎日発生しています。ほとんどの場合、ユーザー ログオンのピーク時にユーザーによって報告されますが、1 日を通して他の時間帯にも発生します。LDAPS と LDAP にバインドする場合、エラー メッセージのテキストはわずかに異なりますが、スタック トレースは同じです。

エラーメッセージ：

• (LDAPS) - 「サーバーが動作していません。(0)」
• (LDAP) - 「ディレクトリ サービスを利用できません。(0)」

可能なすべての構成オプションを試しましたが、エラーは引き続き発生します

• セキュア/非セキュア DC に接続 (ポート 636/389)
• サーバー/サーバーレス バインドを使用して接続する

すべての調査の後、ユーザーにエラーをスローする前に、プール内の各 DC でバインド操作を 1 回再試行するコード変更を実装する方向に進んでいます。

これが機能する方法は、アプリケーションの起動時に、アプリケーションのディレクトリ サービス アクセス コンポーネントが次のことを行うことです。

サイト (および、必要に応じて隣接サイト) 内のすべてのドメイン コントローラーのリストを作成します。一連のテストを実行して、接続を検証します (ping、389/3268/636 テスト)。これにより、それが DC、GC、または RODC であるかどうかも確認できます。簡単なクエリを実行して、ディレクトリ サービスが機能しており、認証が機能していることを確認します。既知の正常なドメイン コントローラーのリストと、オフライン ドメイン コントローラーのリストを保存します。

次に、バインドを実行するときにこれらの既知の適切なサーバーを使用し、サーバーをバインド パスに組み込みます。例外が発生し、それが DC の問題 (サーバーが動作していない、ビジー、タイムアウトなど) を示すタイプの 1 つである場合、その DC をオフライン リストに追加し、他の DC のいずれかを使用して操作を試みます。

このアプローチは実行可能なオプションですか? トレードオフはありますか？Wireshark データの分析が根本原因の特定に役立つと思いますか? MW サーバーで TCP/UDP ポートが使用できないことと関係がありますか?