在 Windows Server 2012 R2 上使用 Kerberos 替换 NAS 后,访问授权无法正常工作

在 Windows Server 2012 R2 上使用 Kerberos 替换 NAS 后,访问授权无法正常工作

环境:

  • Windows Server 2012 R2 上的 Active Directory 域控制器下的 SOHO 网络。
  • 域控制器上通过 Kerberos 具有访问授权的 NAS。
  • DNS 服务器位于域控制器上。
  • 由于硬件问题,我更换了一台新的NAS,是同一家厂商BUFFALO的新款。

新的 NAS:

  • IP地址:192.168.120.4(静态DHCP分配)
  • DNS 名称:“sunny”
  • NAS 配置中的名称:“sunny”

旧 NAS:

  • 仍在网络上
  • IP地址:192.168.120.4(DHCP静态分配)-->192.168.120.***(DHCP动态分配)
  • DNS 名称:“sunny”-->“sunshine”
  • NAS配置中的名称:“sunny”-->“sunshine”

问题:

替换后,我可以正确访问 NAS,但无法打开任何需要通过 Kerberos 进行访问授权的文件夹。对于没有访问授权的文件夹,我可以打开它们。错误消息是“权限被拒绝”。我试图在域控制器上找出任何相关的日志信息,但没有找到。我通过 PowerShell 上的命令“klist purge”删除了客户端计算机上的密钥缓存。

线索:

  • 尽管旧 NAS 存在于域控制器上的“Active Directory 用户和计算机 > 计算机”部分中,但新的 NAS 并未出现在那里。
  • 我删除了上面部分中的旧条目“sunny”,并期望自动创建两个新条目,即分别用于新 NAS 和旧 NAS 的“sunny”和“sunshine”,但过了一段时间它们根本没有出现。
  • 我手动在该部分添加了两个条目“sunny”和“sunshine”,但它们并没有解决问题。

您知道我的网络和 Kerberos 授权出了什么问题吗?

答案1

我询问了BUFFALO的支持中心并得到了解决此问题的答案。

流程如下:

  1. 在 NAS 配置中,将 NAS 更改为 WORKGROUP 成员一次。
  2. 将 NAS 的名称更改为任意您喜欢的名称。
  3. 关闭并启动 NAS
  4. 使 NAS 重新加入 AD 域。
  5. 域控制器将 NAS 识别为新名称,并且 Kerberos 授权与新名称匹配。

此解决方案的要点是当域控制器识别 NAS 的名称时,并且仅当 NAS 参与 AD 域时才如此。

我希望这篇文章有一天能对某人有所帮助。

相关内容