顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - 小穎

頁: [1] 2 3 ... 34
1
肉腳版 / Re: 「問題」主公司子公司,ip不同,可共用server2008r2 active directory內帳戶資料嗎
« 於: 2014-05-15 09:11 »
引述: airword 於 2014-05-14 22:53
感謝小穎先進指點,小弟的網路觀念不OK,只會簡易的上網設定、防火牆進出設定等。架ad是ok,但管理就沒辦法。
所以如果是網路純上網的部份,兩邊公司在先不考慮防火牆的設定下,都是上網ok的,能互ping的。
但小弟所知道的加ad,dns必須是ad的ip,所以母公司裡都ok,子公司的部份,小弟是想說,一台硬體設備像防火牆,可以在上面直接設定撥通母公司的vpn server,
這樣子公司裡的ip進出都會繞到母公司中,
子公司電腦的dns就設成母公司ad的ip,這樣子公司裡就架第三台ad來作加入ad的驗證,
如此是否可行呢?
請先進指教。
謝謝

這邊觀念有點不太正確喔!^_^
Active Directory只是個架構,提供這個服務的叫Domain Controller,而DNS並不是一定要跟DC同一台,也不是DNS一定要是DC的IP,而是一般會把DC跟DNS放同一台方便管理
Client的DNS位址不是指到DC,而是要指到可以解析到DC的DNS位址上
我也沒什大工程實務經驗
不過一般分公司跟總公司應該會用Site to Site VPN吧,兩邊一直保持連線狀態
一種是你自己做VPN、一種是請ISP幫你做VPN
而分公司如果只用總公司內的DNS跟AD的話,兩邊線一斷分公司就GG了

2
肉腳版 / Re: 「問題」主公司子公司,ip不同,可共用server2008r2 active directory內帳戶資料嗎
« 於: 2014-05-14 11:50 »
Active Directory跟網段沒有關係
會有關係的是Site
(講這樣好像也怪怪的,Site其實也是AD架構中的一環)

我覺得要考慮的是
一、兩邊的連線速度
二、分公司是要直接使用總公司內的DC還是分公司那邊也要建立DC
三、需不需要分Site

當然…您必須先確保兩邊的連線、DNS解析沒問題

3
BSD 討論版 / 整合Postfix + dovecot SASL + roundcube及Windows Active Directory認證
« 於: 2011-03-10 16:25 »
潛了好久,終於又浮上來了  ;D

【緣起】
話說在農曆新年前,公司所在大樓發生了連續三次跳電,慘劇就此上演
一台3Com 3300 N年前老舊設備Power燒掉了(還好還有D-Link)
一台前人用Debian做的神奇Mail Server也掛了(如何神奇就不提了)
真是一陣晴天霹靂,快過年了來這種Trouble,難道是老天爺覺得我過太爽了嗎?

求助三子兄,救了半天…還是救不回來…
唉…只好重做了
即然要重做…那就用比較熟悉的FreeBSD吧
即然要重做…那就順便整合AD吧…懶得設定兩次帳號及密碼了(偷懶是MIS的美德)

【環境】
FreeBSD 8.1
Postfix 2.8.1
Dovecot 1.2.16 提供POP3、IMAP、SASL
RoundCube 0.5.1 有Fu的Webmail,加上去好玩的
Apache 1.3.42
MySQL 5.0:roundcube可使用MySQL、PostgreSQL、SQLlite請自行選用
PHP 5.3.5

以上套件皆是使用Port的方式安裝

【安裝及設定】
Windows 2003 AD Domain:cecl.corp
Domain:cecr.org.tw
虛擬郵件帳號及群組:vmail uid/gid 1002
虛擬郵件位址:/var/vmail
LDAP Search帳號:ldapuser
Apache及MySQL的設定不在這篇文章內

這邊只提一些設定項目,請依各人需要自行修改實際環境所需項目

Postfix
安裝時請將dovecot SASL及LDAP支援等選項打勾,這邊不需用到Cyrus SASL
main.cf
代碼: [選擇]
myhostname=mail.cecr.org.tw
mydomain=cecr.org.tw
myorigin=cecr.org.tw
mydestination = $myhostname, localhost.$mydomain, localhost
mynetworks=127.0.0.1

virtual_mailbox_base = /var/vmail
virtual_uid_maps = static:1002
virtual_gid_maps = static:1002

smtpd_sender_restrictions =
                        check_sender_access hash:/usr/local/etc/postfix/senderaccess
                        reject_unknown_sender_domain
                        reject_unknown_address

smtpd_recipient_restrictions =
                        permit_sasl_authenticated
                        reject_unauth_destination

smtpd_client_restrictions =
                        check_client_access hash:/usr/local/etc/postfix/clientaccess
                        reject_rbl_client dnsbl.sorbs.net
                        reject_rbl_client xbl.spamhaus.org

alias_maps = hash:/usr/local/etc/postfix/aliases
command_directory = /usr/local/sbin
daemon_directory = /usr/local/libexec/postfix

virtual_mailbox_domains = cecr.org.tw
virtual_alias_maps = hash:/usr/local/etc/postfix/virtual
canonical_maps = hash:/usr/local/etc/postfix/canonical

#LDAP Stuff
virtual_mailbox_maps = ldap:ldapvirtual
ldapvirtual_server_host =
  ldap://主機1
  ldap://主機2
ldapvirtual_search_base = OU=TPE,DC=cecl,DC=corp
ldapvirtual_bind = yes
ldapvirtual_bind_dn = CECL\ldapuser
ldapvirtual_bind_pw = password
ldapvirtual_query_filter = (sAMAccountName=%u)
ldapvirtual_result_attribute = sAMAccountName
ldapvirtual_version = 3
ldapvirtual_chase_referrals = yes
ldapvirtual_result_format=%s/

#SASL
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

在AD的環境中有的帳號會自動於/var/vmail中建立郵件資料夾
當然,這跟搜尋的路徑有關係,請注意
請自行編輯canonical、virtual、senderaccess及clientaccess這四個檔案並產生需要之db檔
若要在加上什麼奇奇怪怪的過濾及檢查規則請自行處理
PS.請注意postfix的Client-Detection Rules及其SMTP Rules到底是檢查郵件表頭的那一個部分,要不然就白做工嘍(指我自己= =")


編輯/etc/rc..conf
代碼: [選擇]
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

編輯/etc/periodic.conf
代碼: [選擇]
daily_clean_hoststat_enable="NO"
daily_status_mail_rejects_enable="NO"
daily_status_include_submit_mailq="NO"
daily_submit_queuerun="NO"

Dovecot
dovecot.conf
代碼: [選擇]
auth_debug_passwords=yes
protocols = pop3 imap
auth_username_format = %Lu
disable_plaintext_auth = no
ssl = no
mail_location = maildir:/var/vmail/%n
first_valid_uid = 1002
last_valid_uid = 1002
first_valid_gid = 1002
last_valid_gid = 1002
mail_uid = 1002
mail_gid = 1002

log_path = /var/log/dovecot.log
valid_chroot_dirs = /var/vmail

protocol pop3 {
        pop3_client_workarounds = outlook-no-nuls oe-ns-eoh
}

auth default {
 mechanisms = plain login
 passdb ldap {
      args = /usr/local/etc/dovecot-ldap.conf
 }
 userdb ldap {
     args = /usr/local/etc/dovecot-ldap.conf
 }
 socket listen {
       client {
        path = /var/spool/postfix/private/auth
           mode = 0660
           user = postfix
           group = postfix
       }
 }
}

Dovecot-ldap.conf
代碼: [選擇]
hosts = 主機IP
dn = CN=ldapuser,OU=TPE,DC=cecl,DC=corp
dnpass = password
auth_bind = yes
auth_bind_userdn = CECL\%u
ldap_version = 3
base = ou=TPE, dc=cecl, dc=corp
user_attrs = .., homeDirectory=home=/var/vmail/%n
scope = subtree
deref = never
default_pass_scheme = CRYPT
user_filter = (&(ObjectClass=person)(sAMAccountName=%u))
pass_filter = (&(ObjectClass=person)(sAMAccountName=%u))

於dovecot.log檔中可看到Client透過POP3、IMAP認證是否OK
請自行測試

Roundcube
請先於MySQL建立所需的資料庫及帳號權限
安裝的方式為installer目錄
基本設定的部分於安裝時即會產生,請自行建立main.inc.php及db.inc.php這兩個檔案,並視需求修改
這邊addressbook採用AD的方式抓取

config/main.inc.php
代碼: [選擇]
---IMAP---
$rcmail_config['default_host'] = 'IMAP主機IP';

---SMTP---
$rcmail_config['smtp_server'] = 'SMTP主機IP';
$rcmail_config['smtp_user'] = '%u'; 採SASL認證授權
$rcmail_config['smtp_pass'] = '%p'; 採SASL認證授權

---SYSTEM---
$rcmail_config['enable_installer'] = false;
$rcmail_config['mail_domain'] = '%d'; 自動帶出domain位址

---USER INTERFACE---
$rcmail_config['message_sort_col'] = 'date';
$rcmail_config['language'] = 'zh_TW';
$rcmail_config['create_default_folders'] = true; 自動建立預設資料夾

---ADDRESSBOOK SETTINGS---
$rcmail_config['address_book_type'] = 'ldap';
$rcmail_config['ldap_public'] ['通訊錄名稱'] = array(
'name' => '通訊錄名稱',
'hosts' => array('GC主機IP'),
'port' => 3268,
'use_tls'=> false,
'user_specific' => true,
'base_dn'=> 'OU=TPE,DC=CECL,DC=CORP',
'bind_dn' => 'CECL\ldapuser',
'bind_pass' => 'password',
'writable'=> false,
'search_fields' => array('mail', 'cn'),
'name_field' => 'cn',
'firstname_field' => 'givenName',
'surname_field' => 'sn',
'email_field' => 'mail',
'scope' => 'sub',
'filter' => '(&(mail=*)(!(mail=TRUE)))' ,
'sort' => 'cn',
'fuzzy_search' => TRUE);
有出現任何問題請設定main.inc.php裡的log項目查看相關問題所在

於/etc/rc.conf加入
代碼: [選擇]
postfix_enable="YES"
dovecot_enable="YES"
apache_enable="YES"
mysql_enable="YES"

下台一鞠躬  8)

參考資料
http://blog.al-shami.net/index.php/freebsd-postfix-dovecot-and-active-directory/
http://www.chrispont.co.uk/2011/02/roundcube-mail-configuring-ldap-with-windows-ad/


文章有任何錯誤的地方會再修正!謝謝!


4
活動/聚會區 / 回覆: 結構化佈線系統與綠色機房
« 於: 2009-03-20 17:29 »
在我們公司附近! ;D

5
課後溫習+認證考試 / 回覆: 請問server 2008 認證考試
« 於: 2008-06-12 17:51 »
是買2008授權,降級使用2003  ;D

6
肉腳版 / 回覆: winxp 加入 AD後的問題!!!
« 於: 2008-04-09 11:49 »
可以在註冊機碼改User Profile路徑達到你要的功能
不過…可能會改到瘋掉

7
肉腳版 / 回覆: Mantis上傳檔案問題
« 於: 2008-03-04 15:31 »
你要注意的應該有三個地方
第一:mantis設定檔的檔案上傳允許大小
第二:php設定檔的檔案上傳允許大小
第三:mysql設定檔的允許大小 (如果你是將上傳檔案存到mysql的話)

8
活動/聚會區 / 回覆: 2007 酷學園群英會
« 於: 2007-12-15 10:06 »
祝群英會順利圓滿! ;D

上班中...

9
Windows 討論版 / 回覆: about Exchange License
« 於: 2007-12-14 17:10 »
先了解您想要一般電子郵件的功能還是完整訊息平台的功能在來決定要用那一套軟體吧!
Exchange有Server及CAL兩個License,2007連CAL也有分Enterprise及Standard兩種
Domino...沒用過!基本上授權模式大家都差不多!
Exchange為什麼會快速佔據台灣的市場?價格的確是它一個因素!

安全性及穩定性…應該靠您來建構它吧!

10
Linux 討論版 / 回覆: postfix or sendmail + exchange
« 於: 2007-12-14 10:44 »
如果要跑OWA,基本上我想你會使用https
另…若是舊版的Exchange 2000/2003...我想你會評估考慮一下Front End/Back End(當然這不是必要)
新版的Exchange 2007...架構不同,我想你會看看Client Access Roles
或者…
VPN也要考慮一下

Exchange的安全…
基本上微軟有提供一些檢測工具

Exchange Best Practices Analyzer、SCW等等
這只是保護Exchange基本的安全

正在等待架在DC上Exchange關機中的人 ,錯誤的架構害死後面的人!= =

11
MIS 討論區 / 回覆: Vista降級權~
« 於: 2007-12-05 12:21 »
那…Vista Home能不能降到XP Home... ::)

12
MIS 討論區 / 回覆: RD 了解 MIS 的工作內容嗎?
« 於: 2007-12-05 12:18 »
換個角度
MIS了解RD的工作內容嗎?
MIS了解財會的工作內容嗎?
MIS了解業務的工作內容嗎?
MIS了解客服的工作內容嗎?
MIS...了解老闆到底要什麼嗎?

13
Windows 討論版 / 回覆: Windows 2k3 安裝兩張網路卡,兩張網路卡設定不同網段
« 於: 2007-12-03 11:13 »
Routing and Remote Access

14
Windows 討論版 / 回覆: Windows 2k3 安裝兩張網路卡,兩張網路卡設定不同網段
« 於: 2007-12-03 10:31 »
我想您要先了解一下ICS的功能及用途到底在那裡!
如果您是內部環境的話,設Routing會不會容易點?

15
MIS 討論區 / 回覆: 請問應徵卻不問專業 ?
« 於: 2007-11-30 17:38 »
引述: 日京三子 於 2007-11-29 13:40
引述: ZMAN 於 2007-11-29 13:34
這麼多年的工作經驗接觸過無數MIS
成功的MIS不一定都很專業
但是一定都取得老闆的充分信任與授權
這也是我一直鼓吹MIS要走出技術本位的象牙塔
唉,今天跟主管討論,果然產生了排擠效應....... 「萬佛朝宗」也沒辦法聚集足夠的功力.......


我果然還是「未夠班」啊! Q_Q

今天案子雖然過了,但最後結果有點小出入!整個一個「悶」= =
取得老闆的充分信任與授權=>努力中,新工作快兩個月

16
Windows 討論版 / 回覆: Human Interface Device Access 找不到指定的模組
« 於: 2007-11-28 14:39 »
http://www.google.com.tw/search?hl=zh-TW&q=Human+Interface+Device+Access+%E6%89%BE%E4%B8%8D%E5%88%B0%E6%8C%87%E5%AE%9A%E7%9A%84%E6%A8%A1%E7%B5%84&btnG=Google+%E6%90%9C%E5%B0%8B&meta=

17
Windows 討論版 / 想請教有關在2003 Active Directory下 使用 2000 建立子網域的問題
« 於: 2006-07-27 16:32 »
http://www.microsoft.com/taiwan/windowsserver2003/sbs/techinfo/overview/generalfaq.mspx
問.Windows Small Business Server 2003 網域中可以存在多少和幾種類型的伺服器?

18
Network 討論版 / GB lan 佈線及架設問題
« 於: 2006-03-20 21:46 »
你的廠商呢?總應該幫你設定吧!
我真的覺得很奇怪,連功能都不知道,請問你買這台要做什麼?
手冊麻煩看清楚一點,另…請跟你的廠商聯絡!

19
雜七雜八 / 微軟更新
« 於: 2006-03-08 23:40 »
正版好,正版妙,正版呱呱叫!

事實上,在新增移除程式裡就可以把這個碗糕移掉了,請勿道聽塗說!

20
Network 討論版 / 網段內有機器惡意搶IP!
« 於: 2006-02-27 11:49 »
這時就要看貴單位的交換器有沒有網管功能了!
有網管功能,一看就知道這兩個MAC Address是從那裡連上來的!
然後…把他們的網路埠Disable... 8)

21
Windows 討論版 / Outlook 2003如何設定安全名單?
« 於: 2006-02-19 22:26 »
Outlook更新有一個垃圾郵件過濾的功能!在裡面找看看有沒有您要的選項吧!

22
Windows 討論版 / 2000 server 升級 server 2003 之後原來的 asp 不能 run,救命!
« 於: 2006-01-18 15:29 »
請先確定你IIS 6的ASP有啟用!

23
Network 討論版 / 請問一下,區網在傳大檔時整個頻寬都被佔滿了
« 於: 2006-01-10 15:00 »
設備有Gb不代表整個網路能跑Gb
請search 結構化佈線 佈線 或找ZMAN的文章!

24
Network 討論版 / 關於採購第二個防火牆的問題,請幫忙給點建議
« 於: 2006-01-09 10:12 »
是Zyxxx嗎? :roll:

25
雜七雜八 / ACER F20 20吋寬螢幕剛剛敗家裝好 鼓勵勸敗
« 於: 2005-12-07 09:28 »
是不是該來買一台了? 8)

26
好康報報 / T-Shirt 定稿!
« 於: 2005-10-13 13:52 »
尺寸:M
件數:1
種類:長袖

尺寸:M
件數:1
種類:短袖

27
Windows 討論版 / 救救我家AD...不能新增帳號
« 於: 2005-09-22 17:15 »
http://support.microsoft.com/default.aspx?scid=kb;en-us;839879

28
活動/聚會區 / SA@Taipei 九月份活動主題 - 網路資訊安全
« 於: 2005-09-19 15:38 »
引述: "ericshei"

我就說他們二個不知在後面幹麻!   :roll:  :roll:

下次坐後面一點,才知道發生什麼事!

29
活動/聚會區 / SA@Taipei 九月份活動主題 - 網路資訊安全
« 於: 2005-09-14 23:03 »
這位黑貓妹…
怎麼這麼high?為什麼可以這麼high? :o

30
Network 討論版 / 網路架構Port Trunking疑問
« 於: 2005-08-22 21:21 »
標準就是標準!802.3ad Link Aggregation就是802.3ad Link Aggregation!
只是要了解能做多少個Port多少個Group!沒這麼複雜吧!
支援這個標準還接不起來?不是設錯就是這種產品可以丟掉了!
另外在企業裡,沒人拿Linux來當什麼Core Router,也沒人會拿什麼Fiber NIC吧…隨便弄個L3 Switch效能都比你好!
網路架構跟設備沒有一定,請了解自己環境的需求在說!找到專業的廠商,做對的事!

頁: [1] 2 3 ... 34