天亮了说晚安's Blog

本文转自：https://www.petenetlive.com/KB/Article/0000685 Problem Note: The procedure is the same for Server 2016 and 2019 This week I was configuring some 2008 R2 RADIUS authentication, so I thought I’d take a look at how Microsoft have changed the process for 2012. The whole thing was surprisingly painless. I will say that Kerberos Authentication is a LOT easier to configure, but I’ve yet to test that with 2012, (watch this space). Solution Step 1 Configure the ASA for AAA RADIUS Authentication 1. Connect to your ASDM, > Configuration. 2. Remote Access VPN. 3. AAA Local Users > AAA Server Groups. 4. In the Server group section > Add. 5. Give the group a name and accept the defaults > OK. 6. Now (with the group selected) > In the bottom (Server) section > Add. 7. Specify the IP address, and a shared secret that the AS......Read More

本文转自：https://www.petenetlive.com/KB/Article/0000943 Problem Also See Cisco ASA5500 AnyConnect SSL VPN This procedure was done on Cisco ASA version 8.4, so it uses all the newer NAT commands. I’m also going to use self signed certificates so you will see this error when you attempt to connect. Solution 1. The first job is to go get the AnyConnect client package, (download it from Cisco with a current support agreement). Then copy it into the firewall via TFTP. If you are unsure how to do that see the following article. Install and Use a TFTP Server Petes-ASA(config)# copy tftp flash Address or name of remote host [10.254.254.183]? 192.168.80.1 Source filename []?anyconnect-win-3.1.05152-k9 Destination filename [anyconnect-win-3.1.05152-k9]? {Enter} Accessing tftp://192.168.80.1/anyconnect-win-3.1.05152-k9...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!......Read More

本文转自：https://www.petenetlive.com/KB/Article/0001152 Problem When I first started doing Cisco remote VPNs, we had Server 2000/2003 and I used to use RADIUS with IAS. Then Microsoft brought out 2008/2012 and RADIUS via NAP. Because I fear and loath change I swapped to using Kerberos VPN Authentication for a while. I had to put in an ASA5512-X this weekend and the client wanted to allow AnyConnect to a particular Domain Security Group “VPN-Users”, so I thought I would use LDAP for a change. The process is to setup AAA for LDAP, then create an ‘Attribute map’ for the domain group, and then map that group to a particular ASA Tunnel Group/ASA Group Policy. Though to be honest if you have multiple groups and want to assign different levels of access (i.e. different ACLs etc.) then using a blend of LDAP and Cisco Dynamic Access Policies (DAP) is a lot simpler. I’ll post both options, and you can take your pick Solution Firstly you need to cre......Read More

本文转自：https://www.petenetlive.com/KB/Article/0001175 Problem I always forget the syntax for this, and I’ve been meaning to publish this for a while so here you go. If you have AAA setup and people can’t log in, then the ability to test authentication against a user’s username and password is a good troubleshooting step! Usually I’m on a Cisco ASA but I’ll tag on the syntax for IOS as well. Solution Cisco ASA Test AAA Authentication From Command Line You will need to know the server group and the server you are going to query, below the ASA is using LDAP, but the process is the same for RADIUS, Kerberos, TACACS+, etc. Petes-ASA# show run | begin aaa aaa-server TEST-LDAP-SERVER protocol ldap aaa-server TEST-LDAP-SERVER (inside) host 192.168.110.10 ldap-base-dn dc=TEST,dc=net ldap-scope subtree ldap-naming-attribute sAMAccountName ldap-login-password ***** ldap-login-dn cn=asa,OU=Users,OU=Test-Corp,dc=TEST,dc=net server-type auto-detect To te......Read More

本文转自： https://blog.51cto.com/yiding/1680043 结合自己在实际配置中遇到的问题，或不清楚的地方做了补充和说明。 很多公司通过ASA防火墙实现VPN用户远程访问公司内网，但默认情况下需要为每个用户分配一个VPN账号。而企业内部人员都有自己的域账号，如果能使用域账号访问VPN，这样会大大改善用户体验。以下我们通过LDAP实现ASA与AD域的集中认证。LDAP（Lightweight Directory Access Protocol），轻量级目录访问协议。它是目录访问协议一个标准，基于X.500 标准且可以根据需要定制。LDAP 目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表等等。在企业范围内实现LDAP 可以让几乎所有应用程序从LDAP 目录中获取信息。下面结合一个网络拓扑来看下是如何实现的公司内部域sr.com,192.168.1.0/24ASA5520集防火墙、VPN网关为一体，外部用户需要远程访问需求：远程用户可以使用域用户访问VPN 实现过程：Step1:在ASA上添加LDAP认证类型的aaa-serveraaa-server sr.com protocol ldap //指定防火墙与AD中使用的协议max-failed-attempts 2aaa-server sr.com (inside) host 192.168.1.80 //指定AAA服务器地址ldap-b......Read More

本文转自：https://www.cnblogs.com/bob-yanlibo/p/8138280.html 一．         ADUC安装 根据自己电脑所使用的Windows操作系统，找到对应的ADUC管理工具补丁包点击下载后安装。 Windows7补丁下载链接：https://www.microsoft.com/zh-cn/download/details.aspx?id=7887 Windows10补丁下载链接：https://www.microsoft.com/zh-cn/download/details.aspx?id=45520 安装完成之后再进行配置。 Windows 7 配置方法：         打开“开始”—“控制面板”—“程序”—“程序和功能”下的“打开或关闭Windows功能”，如图所示进行选择，添加功能完成后，重启电脑。 Windows 10配置方法         安装完成后，按win图标键+R,输入control，打开控制面版，找到如图所示的标红和标绿选项并选中，点击安装。 二．         ADUC使用       Windows 7和Windows 10下使用方法一样，无须跳板机即可登录使用。        按......Read More

本文转自： https://www.cnblogs.com/zoulongbin/p/6013609.html 一：实验模拟环境：            　　 Zhuyu公司是一个小公司，随着公司状大，公司越来越重视信息化建设，公司考虑到计算机用户权限集中管理及共享资源同步管理， 　　需要架设一套AD域控服务器，考虑到成本和日后管理问题，计划把AD域控和DNS服务器架设在一起，安装了主域控制器之后，为避免出现单 　　点故障，需要另外再部署一台辅域控制器备用。 二、公司网络部署： 主域控制器服务器 (Windows server 2008 R2 + AD域 + DNS服务器) 主域控制器服务器计算机名称：test-zhuAD 主域控制器服务器FQCN(完全限定的域名)：zhuyu.com 辅域控制服务器 (Windows server 2008 R2 + AD域 + 备用DNS服务器) 辅域控制服务器计算机名称：test-beiAD *********　　辅域控制器注意事项　　 *********** 　　1 安装前，辅域控制器的DNS指向主域控制器，设置如下： 　　DNS1：192.168.10.30 　　DNS2：192.168.10.31 　　2 辅域控制器安装DNS服务不用设置； 　　3 安装辅域控制器,如果主域控制器DNS和AD集成，辅域控制器会在安装AD后自......Read More

本文转自： https://www.cnblogs.com/zoulongbin/p/6008016.html 2、选择下一步。 3、选择DNS服务器 —- 下一步。 4、选择下一步。 5、选择完成。 6、提示正在安装。 7、安装完成 —- 选择关闭。 8、开始 —- 管理工具 —- DNS。 9、右键选择正向查找区域 —- 新建区域。 10、选择下一步。 11、选择主要区域 —- 下一步。 12、填写区域名称 zhuyu.com   —-  下一步。 13、选择创建新文件 —– 文件名为使用默认文件名 —– 下一步。 14、在动态更新窗口 —- 选择不允许动态更新 —-   下一步。 15、选择完成。 16、右键 zhuyu.com —-   选择新建主机(A或AAAA)。 17、名称输入www —-  IP地址输入 192.168.10.30(设置成DNS服务器的IP地址)。 18、右键选择反向查找区域 —- 新建立区域。 19、选择下一步。 20、选择主要区域 —- 下一步。 21、选择IPv4反向查找区域 —- 下一步。 ......Read More

本文转自： https://www.cnblogs.com/zoulongbin/p/5669318.html 1、进入”本地安全策略”进行管理时,发现密码策略已经被锁定,无法更改: 2、在此情况下要改密码策略的过程如下, 进入组策略管理: 3、右键点击/编辑Default Domain Policy: 4、在这里, 可以对密码复杂性要求进行禁用: 5、禁用并确定后, 此策略并没有被立即应用, 还要运行一下gpupdate /force 应用一下方能生效 6、可以看到,当组策略管理器中对密码策略都取消定义后,本地密码策略即可以被更改,在本地安全策略中随意简化密码约束: Read More