森林信任:非完全限定名称的 SPN 不匹配

tag-icon tag-icon kerberos cifs trust-relationship spn
森林信任:非完全限定名称的 SPN 不匹配

设置

所有运行 Windows Server 2019 的计算机。

域A

物品 价值 完全合格
域名 DomainA DomainA.local
用户 UserA [email protected]
服务器 FileServer FileServer.DomainA.local

域 B

物品 价值 完全合格
域名 DomainB DomainB.local
用户 UserB [email protected]
服务器 FileServer FileServer.DomainB.local
工作站 WorkStation WorkStation.DomainB.local

森林信托

  • DomainA.local信托DomainB.local
  • DomainB.local信托DomainA.local

场景

下面我介绍两种方案。方案 A 的效果符合预期。我对方案 B 有疑问。

场景 A

[email protected]登录WorkStation.DomainB.local,然后从运行提示符尝试打开\\FileServer

问:哪一个FileServer会出现?

  • A)FileServer.DomainA.local
  • b)FileServer.DomainB.local

DomainB答:(b)[显然 - 我们在工作站上使用用户DomainB]

场景 B

[email protected]登录WorkStation.DomainB.local,然后从运行命令提示符尝试打开\\FileServer

问:会出现哪些文件服务器的共享?

  • a)FileServer.DomainA.local(因为我们使用DomainA用户名登录)
  • b)FileServer.DomainB.local(因为我们登录了DomainB电脑)

答:以上都不是。相反,会出现一条错误消息:

\\FileServer is not accessible.  You might not have permission to use this nework resource.  Contact the administrator of this server to find out if you have access permissions.

The target account name is incorrect

问题

有人能从技术上解释为什么方案 B 会失败吗?具体来说:

  1. 字符串“ \\FileServer”在特定计算机上如何翻译?

    • 是否使用 DNS?如果没有,使用什么?
    • 它是否解析为FileServer.DomainA.localFileServer.DomainB.local

  2. SPN 是如何关联的,特别是setspn -L FileServer显示非完全限定名称(如)HOST/FileServer以及完全限定条目(如HOST/FileServer.DomainB.local

我猜

  1. DNS(也可以说是常识)解析FileServerFileServer.DomainB.local
  2. 但是,\\FileServer(CIFS/双反斜杠) 解析为FileServer.DomainA.local
  3. SPN(无论它是什么)正在“解析”为FileServer.DomainB.local
  4. (2)和(3)中的域A/域B不匹配是The target account name is incorrect

相关内容