这是一种简化,名称已更改以保护无辜者。
The assets:
Active Directory Domains
corp.lan
saas.lan
User accounts
user01@corp.lan
user02@corp.lan
Servers
dc.corp.lan (domain controller)
dc.saas.lan (domain controller)
server.saas.lan
域之间存在一种单向信任,因此用户帐户在 corp.lan 中并登录到 saas.lan 中的服务器
dc.corp.lan 和 dc.saas.lan 之间没有防火墙
server.saas.lan 位于防火墙区域中,并且存在一组规则,因此它可以与 dc.saas.lan 通信
我可以使用 user01@corp.lan 登录 server.saas.lan - 但我不明白它是如何工作的。如果我查看防火墙日志,我会在 server.saas.lan 和 dc.saas.lan 之间看到一堆登录信息
我还看到了 server.saas.lan 和 dc.corp.lan 之间的一堆 DROPPED 喋喋不休。据推测,这是因为 server.saas.lan 正在尝试对 user01@corp.lan 进行身份验证,但不存在允许这些主机之间进行通信的防火墙规则。
但是,user01@corp.lan 可以成功登录server.saas.lan - 登录后,我可以“echo %logonserver%”并获取\dc.corp.lan。
所以.... 我有点困惑帐户如何实际获得身份验证。在 server.saas.lan 无法与 dc.corp.lan 通话后,dc.saas.lan 最终会与 dc.corp.lan 通话吗?
只是想弄清楚需要更改/修复/更改的内容。