我们有一个包含两个域的 AD 林:
- company.com
- 测试公司
我们已经更换了 test.company.com 的域控制器(操作系统从 W2012R2 更改为 W2022,但不是就地升级)。从那时起,当包含外部安全主体 (FSP) 时,我无法正确使用 Active Directory Web 服务 (ADWS)。
例如使用Get-ADGroupmember -Server company.com -Identity Companygroup1 | Select-Object name
我收到此异常:
Get-ADGroupmember : An unspecified error has occurred
At line:3 char:1
+ Get-ADGroupmember -Identity Companygroup1 | Select-Object nam ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (Companygroup1 :ADGroup) [Get-ADGroupMember], ADException
+ FullyQualifiedErrorId : ActiveDirectoryServer:0,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
如果我在 company.com 域控制器上使用相同的 Cmdlet,则一切正常,但在客户端或 test.company.com DC 上,我得到了上述异常。在更换 test.company.com DC 之前,一切正常(= 带有 FSP 的请求在两个域中的每台计算机上都有效)。现在它对我林中的两个域都不起作用。
该组包含来自两个不同林的用户:
- group.com(选择性双向信任)
- vienna.com(双向完全信任)
桁架关系似乎不是问题,因为我尝试使用仅包含来自一个受信任域的 FSP 的组,但没有效果。
我已经检查过的内容:
- 用户仍存在于外部域中
- 防火墙没有阻止请求 - 网络连接良好
- 这与我的用户帐户无关
- 我的 TGT 是可转发的
- DC 的日志不包含任何特定错误(仅包含“发生了未指定的错误”事件)
- 我已多次重启 ADWS
有人知道为什么会发生这种情况吗?特别是为什么升级 test-subdomain DC 会影响 company.com 域?我完全不知道。
答案1
对于那些感兴趣的人,我发现了这个问题。域已启用 Kerberos 约束委派。这就是它从 DC 工作的原因(因为在这种情况下不需要委派)