我在单向信任设置中遇到了一个非常奇怪的问题,来自受信任域(域 A)的用户可以成功登录到信任域(域 B),但是密码更改尝试失败,并显示“无法从域控制器读取配置信息,因为机器不可用或访问被拒绝。”。
设置如下: 域 A - 2x Win 2012 R2 和 1x Win 2008 R2* 域控制器(在 Win 2008 R2 AD 级别运行) 域 B - 2x Win 2016 域控制器(在 Win 2016 AD 级别运行)
*是的,我知道,EOL,它很快就会被关闭。
我也不相信功能性 AD 水平与这个问题有任何关系。
通常,用户会建立 VPN 连接,然后使用其域 A 帐户通过 RDP 连接到域 B 中的 2016 终端服务器。到目前为止一切正常。他们可以在登录域 B 终端服务器时访问域 A 中的资源。仍然很好。但是,一旦帐户的密码过期,用户就无法更改它。我已验证 Trust 正常工作并且 DNS 正常运行,因为我可以使用域 B 中的 FQDN 查询域 A 服务器,并且它们的本地 IP 会报告给我。
我坐在活动 DC 上查看安全日志,并尝试从域 B 更改密码,但什么也没看到。我可以看到我的用户登录并打开应用程序。
我对这一切如何运作的想法正确吗?域 B 终端服务器 > 域 A 域控制器
我们运行 Splunk,它可以看到两个域,我还在终端服务器上运行了 Wireshark 的本地实例,但我不太擅长过滤这两个应用程序中的噪音以缩小正确的通信范围。我在 Wireshark 中看到的只是从终端服务器到另一端 DC 的 CLDAP 条目。
我在这里和其他地方搜索得已经筋疲力尽了。2012 DC 没有安装 KB4012219 来限制对 SAM 的远程调用。我在域 A DC 上没有看到任何错误,这说明请求甚至没有从域 B 发出。但我在 Splunk 中没有看到任何明显的拒绝。
我进行的额外测试是使用域 B 终端服务器中的“nltest /dsgetdc:”,但出现无法找到域的错误。
有任何想法吗?
答案1
问题已解决。原因在于防火墙规则。规则配置为仅允许域控制器之间的 AD 流量,而请求直接从域 B 中的终端服务器发送到域 A 中的域控制器。我的同事在日志中看到这种情况后,将相同的规则应用于终端服务器,然后我便能够成功更改用户密码。