我不知道为什么只有我一个人遇到这个问题,我认为这是 Server 2012 和 RDS 协议的一个大问题...使用 2008 机器,您可以使用单向信任通过 TSGateway 服务跨域进行身份验证,但使用 2012 时,如果遇到单向信任,它会中断。我正在尝试实现双向信任,它对所有事物都像单向信任一样,但对于 TSGateway 和 RDS 服务等事物则使用 kerberos 身份验证...
简单说一下背景,我目前有两个域(A 和 B),它们之间是单向的外部信任。(A 上的传出信任,B 中的用户可以访问 A 中的设备)
目前,我可以登录域 A 中的计算机,并使用 GUI 添加域 B 中的用户。(我也可以从 CLI 执行此操作,但这与此无关)
当我构建测试域时,我可以重现此行为。如果我使用双向信任创建测试域,则在两个方向上进行域范围的身份验证,此行为不会改变,但它允许我反向进行身份验证(duh),这是我不想要的。
当我由于某种原因将域 B 更改为“选择性身份验证”时,用户和计算机 GUI 停止按预期工作。
- 对于域 B 计算机,我仍然可以像平常一样浏览 GUI,甚至可以添加域 A 用户,但由于选择性 Auth 设置,他们不允许登录。
- 对于域 A 计算机,浏览 GUI 不允许选择用户或组,并且高级搜索会出现错误:“以下错误阻止显示任何项目:未指定的错误”
- 对于域 A 中的计算机,如果我知道域 B 中的用户名,我可以使用“net localgroup”命令添加帐户,并且一切正常,但是 GUI 已损坏,这对于我们的大多数用户来说可能不是一个可用的解决方案...
我的问题(抱歉花了这么长时间才回答)是为什么选择性身份验证会改变信任的行为,以致于它的行为不同于单向信任,我是否遗漏了一些简单的事情?
当我从 GUI 获取“未指定”错误时,我在域 B 的 DC 上收到一个错误:
已请求 Kerberos 服务票证。
帐户信息:帐户名称:bob@DOMAINA 帐户域:DOMAINA 登录 GUID:{00000000-0000-0000-0000-000000000000}
服务信息:服务名称:ldap/DC.DOMAINB/DOMAINB 服务 ID:NULL SID
网络信息:客户端地址:::ffff:192.168.18.70 客户端端口:62103
附加信息:票证选项:0x40800000 票证加密类型:0xFFFFFFFF 失败代码:0xC 传输服务:-
每次请求访问资源(例如计算机或 Windows 服务)时都会生成此事件。服务名称表示请求访问的资源。
通过比较每个事件中的登录 GUID 字段,可以将此事件与 Windows 登录事件关联起来。登录事件发生在被访问的计算机上,该计算机通常与颁发服务票证的域控制器不同。
票证选项、加密类型和失败代码在 RFC 4120 中定义。
我不明白当我提供 DomainB 凭证时,为什么它会尝试使用来自 DomainA 的“bob”对 DomainB 进行身份验证……
感谢您提供的任何帮助,我已经连续三天研究这个问题,但还没有发现任何有用的东西。
答案1
您必须对要允许从外部域登录的计算机对象允许身份验证。您可以逐台计算机执行此操作,也可以在包含计算机对象的 OU 中设置权限。
我的建议如下。在域 A 中创建一个本地组,在域 B 中创建一个全局组。
使域 B 中的全局组成为域 A 中本地组的成员。
右键单击包含您要允许的系统的 OU,然后选择属性。在安全选项卡中,单击高级。
添加域本地组并选中允许验证复选框。
这将允许来自域 b 的任何属于全局组成员的用户登录您指定的系统。