在我的域中的任何成员服务器(我们将其命名为 FS)上,直通身份验证都不起作用。我在非域计算机上设置了完全相同的用户名和密码来访问共享。它在域控制器上起作用,当我在 FS 上创建本地用户时也是如此。我可以在日志中看到 FS 在收到访问请求时向 DC 发送 NTLM 流量,但身份验证失败。有人知道如何让它工作吗?用户对它非常着迷,我不想将成员服务器升级为域控制器。(服务器上的操作系统是 Windows Server 2012 R2,客户端是 Win 10)
编辑:对 netlogon 服务调试日志进行更深入的调查显示,请求未从 FS 中继到 DC。是否有可能强制将所有请求发送到域/服务器?
答案1
TLDR;要使直通身份验证按您希望的方式工作,计算机需要加入域。另一种解决方案是编写一个批处理文件,该文件登录到服务器并将未加入域的计算机上的驱动器映射到 FS。
您还没有解决本地计算机名称构成用户名中的“域”部分这一事实。
如果每个人的计算机上都有一个用户名“Bob”,那么您似乎认为连接到域“company.local”且用户名为“Bob”的服务器应该允许来自客户端的直通身份验证,但完整的用户名实际上是不同的。
如果名为“personalmachine”的未加入域的计算机尝试访问 FS,则发送到服务器的用户名是 bob@personalmachine。
如果用户名是[电子邮件保护]他们将能够向服务器进行身份验证,但要做到这一点,他们的计算机需要加入 company.local 域。