环境:
- Windows Server 2012 R2 上的 Active Directory 域控制器下的 SOHO 网络。
- 域控制器上通过 Kerberos 具有访问授权的 NAS。
- DNS 服务器位于域控制器上。
- 由于硬件问题,我更换了一台新的NAS,是同一家厂商BUFFALO的新款。
新的 NAS:
- IP地址:192.168.120.4(静态DHCP分配)
- DNS 名称:“sunny”
- NAS 配置中的名称:“sunny”
旧 NAS:
- 仍在网络上
- IP地址:192.168.120.4(DHCP静态分配)-->192.168.120.***(DHCP动态分配)
- DNS 名称:“sunny”-->“sunshine”
- NAS配置中的名称:“sunny”-->“sunshine”
问题:
替换后,我可以正确访问 NAS,但无法打开任何需要通过 Kerberos 进行访问授权的文件夹。对于没有访问授权的文件夹,我可以打开它们。错误消息是“权限被拒绝”。我试图在域控制器上找出任何相关的日志信息,但没有找到。我通过 PowerShell 上的命令“klist purge”删除了客户端计算机上的密钥缓存。
线索:
- 尽管旧 NAS 存在于域控制器上的“Active Directory 用户和计算机 > 计算机”部分中,但新的 NAS 并未出现在那里。
- 我删除了上面部分中的旧条目“sunny”,并期望自动创建两个新条目,即分别用于新 NAS 和旧 NAS 的“sunny”和“sunshine”,但过了一段时间它们根本没有出现。
- 我手动在该部分添加了两个条目“sunny”和“sunshine”,但它们并没有解决问题。
您知道我的网络和 Kerberos 授权出了什么问题吗?
答案1
我询问了BUFFALO的支持中心并得到了解决此问题的答案。
流程如下:
- 在 NAS 配置中,将 NAS 更改为 WORKGROUP 成员一次。
- 将 NAS 的名称更改为任意您喜欢的名称。
- 关闭并启动 NAS
- 使 NAS 重新加入 AD 域。
- 域控制器将 NAS 识别为新名称,并且 Kerberos 授权与新名称匹配。
此解决方案的要点是当域控制器识别 NAS 的名称时,并且仅当 NAS 参与 AD 域时才如此。
我希望这篇文章有一天能对某人有所帮助。