Rya*_*ace 5 active-directory authentication windows-server-2012-r2
我不确定为什么我是唯一遇到这个问题的人,我认为这是 Server 2012 和 RDS 协议的一个更大的问题......对于 2008 机器,您可以使用单向信任来使用 TSGateway 跨域进行身份验证服务,但在 2012 年,它在运行单向信任时会中断。我正在尝试实施一种双向信任,它就像对所有事物的一种单一信任,但对诸如 TSGateway 和 RDS 服务之类的事物进行 kerberos 身份验证...
一点背景故事,我目前有两个域(A 和 B),采用一种方式,外部信任。(A 上的传出信任,B 中的用户可以访问 A 中的设备)
目前,我可以登录域 A 中的计算机,并使用 GUI 添加域 B 中的用户。(我也可以从 CLI 执行此操作,但这与此处无关)
当我构建我的测试域时,我可以重新创建这种行为。如果我使用双向信任创建测试域,则此行为不会改变,尽管它确实允许我在我不想要的相反方向 (duh) 进行身份验证。
当我出于某种原因将域 B 更改为“选择性身份验证”时,用户和计算机 GUI 将停止按预期工作。
我的问题(很抱歉花了这么长时间才弄明白)为什么选择性身份验证会改变信任的行为,使其行为与单向信任不同,我是否遗漏了一些简单的事情?
当我从 GUI 收到“未指定”错误时,我在域 B 的 DC 上收到错误:
已请求 Kerberos 服务票证。
账户信息: 账户名称:bob@DOMAINA 账户域:DOMAINA 登录 GUID:{00000000-0000-0000-0000-000000000000}
服务信息: 服务名称:ldap/DC.DOMAINB/DOMAINB 服务 ID:NULL SID
网络信息:客户端地址:::ffff:192.168.18.70 客户端端口:62103
附加信息:票证选项:0x40800000 票证加密类型:0xFFFFFFFF 失败代码:0xC 传输服务:-
每次请求访问资源(例如计算机或 Windows 服务)时都会生成此事件。服务名称表示请求访问的资源。
通过比较每个事件中的登录 GUID 字段,可以将此事件与 Windows 登录事件相关联。登录事件发生在被访问的机器上,该机器通常与发出服务票证的域控制器不同。
票证选项、加密类型和失败代码在 RFC 4120 中定义。
当我提供 DomainB 凭据时,我不明白为什么它会尝试使用来自 DomainA 的“bob”对 DomainB 进行身份验证...
感谢您提供的任何帮助,我已经连续研究了 3 天,但还没有找到任何有用的东西。
您必须允许对要允许从外部域登录的计算机对象进行身份验证。您可以逐台计算机执行此操作,也可以在包含计算机对象的 OU 中设置权限。
我的建议如下。在域 A 中创建本地组,在域 B 中创建全局组。
使域 B 中的全局组成为域 A 中本地组的成员。
右键单击包含要允许的系统的 ou,然后选择属性。在安全选项卡中,单击高级。
添加域本地组并选择允许进行身份验证复选框。
这将允许属于全局组成员的域 b 中的任何用户有权登录您指定的系统。
| 归档时间: |
|
| 查看次数: |
2685 次 |
| 最近记录: |