我在 DMZ 中有一个 DC,如果我尝试在登录到 DMZ DC 时将用户/组添加到文件夹 NTFS 权限,我可以轻松地在 NTFS 权限下从我们的内部域查找域帐户。但是,当我在 NTFS 文件夹权限上单击“检查名称”时,同一 DMZ 中的成员服务器无法返回任何内部域帐户。我已经完成了我能想到的所有故障排除:ping 正常,来自 DMZ 服务器(DMZ DC 和成员服务器)的端口查询返回相同的开放端口。目前,我并不完全确定成员服务器在哪里以及为什么没有返回任何内部域帐户,而 DMZ DC 却返回了。我应该查看组策略吗?在哪里?在内部域 DC 还是 DMZ DC 上?欢迎提出任何想法和意见。我排除了信任问题,因为 DMZ DC 看起来不错。
想想看,我们有 2 个域林 - 主域 (D1) 和 DMZ 域 (D2)。我们从 DMZ 域 (D2) 到主域 (D1) 具有传出信任,这意味着 DMZ 信任我们的主域,而不是相反。我认为从安全角度来看,应该这样设置。我的理解是,D1 中的域用户可以访问 D2(DMZ)中的资源,而反之则不行。如果我的理解正确,那么它就解释了为什么 D2 服务器无法解析任何 D1 域帐户。但是为什么 DMZ(D2)中的 DC 能够看到 D1 域帐户?根据我们设置 TRUST 的方式,理想情况下,DMZ 中的 DC 应该被限制访问 D1 域,对吗?是否有特殊配置允许仅 DMZ 中的 DC 访问 D1 域中的资源,而不允许 DMZ 中的任何其他成员服务器访问……只是在考虑这个问题
仅供参考 - 我们有全林身份验证,而不是选择性身份验证