我不确定为什么我是唯一遇到这个问题的人,我认为这是 Server 2012 和 RDS 协议的一个更大的问题......对于 2008 机器,您可以使用单向信任来使用 TSGateway 跨域进行身份验证服务,但在 2012 年,它在运行单向信任时会中断。我正在尝试实施一种双向信任,它就像对所有事物的一种单一信任,但对诸如 TSGateway 和 RDS 服务之类的事物进行 kerberos 身份验证...
一点背景故事,我目前有两个域(A 和 B),采用一种方式,外部信任。(A 上的传出信任,B 中的用户可以访问 A 中的设备)
目前,我可以登录域 A 中的计算机,并使用 GUI 添加域 B 中的用户。(我也可以从 CLI 执行此操作,但这与此处无关)
当我构建我的测试域时,我可以重新创建这种行为。如果我使用双向信任创建测试域,则此行为不会改变,尽管它确实允许我在我不想要的相反方向 (duh) 进行身份验证。
当我出于某种原因将域 B 更改为“选择性身份验证”时,用户和计算机 GUI 将停止按预期工作。
我的问题(很抱歉花了这么长时间才弄明白)为什么选择性身份验证会改变信任的行为,使其行为与单向信任不同,我是否遗漏了一些简单的事情?
当我从 GUI 收到“未指定”错误时,我在域 B 的 DC 上收到错误:
已请求 Kerberos 服务票证。
账户信息: 账户名称:bob@DOMAINA 账户域:DOMAINA 登录 GUID:{00000000-0000-0000-0000-000000000000}
服务信息: 服务名称:ldap/DC.DOMAINB/DOMAINB 服务 …