La mia fiducia a due vie con authorization selettiva sembra comportrsi in contrasto con una fiducia unidirezionale

Non so perché sono l'unico che esegue questo problema, penso che sia un problema più grande con i protocolli Server 2012 e RDS … Con le macchine 2008 è ansible utilizzare un trust one way per autenticare in tutti i domini con TSGateway servizio, ma con 2012 si rompe quando esegue una fiducia in un senso. Sto provando ad attuare una fiducia bidirezionale che agisce come un affidamento in un modo per tutto, ma authorization kerberos per cose come TSGateway e servizi RDS …


Una piccola backstory, ho attualmente due domini (A e B) con un solo modo, fiducia esterna. (Trust in output su A, gli utenti in B possono accedere ai dispositivi in ​​A)

Al momento posso accedere a un computer nel dominio A e aggiungere un utente dal dominio B con la GUI. (Posso anche farlo dal CLI, ma qui non è rilevante)

Quando costruisco il dominio di prova, posso ricreare questo comportmento. Se creo il dominio di prova con una fiducia bidirezionale, l'authentication a livello di dominio in entrambe le direzioni non cambia questo comportmento, anche se mi permette di autorizzare in senso inverso (duh) che non voglio.

Quando cambiano il dominio B in 'authentication selettiva' per qualche motivo la GUI degli utenti e dei computer smette di funzionare come previsto.

  • Per i computer di dominio B, posso ancora sfogliare la GUI come normale e addirittura aggiungere utenti di dominio A, anche se non è consentito accedere, a causa dell'installazione di selezione automatica.
  • Per il dominio di un computer, la visualizzazione della GUI non consente la selezione di utenti o gruppi e la ricerca avanzata presenta un errore che dice: "L'errore seguente impediva la visualizzazione di tutti gli elementi: Errore non specificato"
  • Per domini Un computer, se conosco il nome utente di Domain B, posso aggiungere l'account utilizzando i comandi "net localgroup" e tutto funziona bene, ma la GUI è rotta e questo non sarà probabilmente una soluzione utilizzabile per la maggioranza dei nostri utenti …

La mia domanda (scusa per prendere così tanto tempo per arrivare ad esso) è il motivo per cui l'autovalutazione cambia il comportmento della fiducia in modo che si comporti in modo diverso da una fiducia in un senso, e c'è qualche cosa semplice che mi manca?

Quando ottengo l'errore "non specificato" dalla GUI, ottengo un errore nel DC per il dominio B:

È stato richiesto un biglietto di servizio Kerberos.

Informazioni sul conto: Nome account: bob @ DOMAINA Domain account: DOMAINA Logon GUID: {00000000-0000-0000-0000-000000000000}

Informazioni sul servizio: Nome servizio: ID servizio ldap / DC.DOMAINB / DOMAINB: NULL SID

Informazioni sulla networking: Indirizzo del cliente: :: ffff: 192.168.18.70 Porta client: 62103

Informazioni aggiuntive: Opzioni di biglietteria: 0x40800000 Tipo di crittografia del biglietto: codice di errore 0xFFFFFFFF: 0xC Servizi transiti: –

Questo evento viene generato each volta che l'accesso è richiesto a una risorsa come un computer o un servizio Windows. Il nome del servizio indica la risorsa a cui è stato richiesto l'accesso.

Questo evento può essere correlato con gli events di accesso di Windows confrontando i campi GUID di accesso in each evento. L'evento di accesso si verifica sulla macchina che è stata acceduta, che è spesso una macchina diversa da quella del controller di dominio che ha rilasciato il ticket di servizio.

Le opzioni del biglietto, i tipi di crittografia ei codici di guasto sono definiti in RFC 4120.

Non capisco perché cerca di autenticarsi contro DomainB utilizzando 'bob' da DomainA, quando ho fornito le credenziali di DomainB …

Grazie per qualsiasi aiuto che tu possa fornire, sono stato banging su questo per 3 giorni dritto e non ho trovato niente utile ancora.

  • Quando il server di Windows desidera riavviare per finire la disinstallazione di una function / ruolo, cosa succede se non riavviamo mai?
  • Annullamento del process di download di WSUS
  • Dove posso trovare dskprobe.exe per Server 2012 R2?
  • DFS-R crea 4,2 milioni di backlog di file identici dopo il clone
  • Installazione automatica di Windows Server 2012 su KVM
  • Hyper-v failover o replica in 2 cluster di nodes
  • Slowess estrema inspiegabile su Dell PowerEdge R320, riparata solo dal riavvio a freddo
  • Aggiunta di un controller di dominio 2012 R2 a un dominio di livello funzionale 2008 R2
  • One Solution collect form web for “La mia fiducia a due vie con authorization selettiva sembra comportrsi in contrasto con una fiducia unidirezionale”

    È necessario consentire l'authentication sugli oggetti computer che si desidera consentire gli accessi dal dominio esterno. È ansible eseguirlo tramite computer oppure è ansible impostare l'authorization nell'OU che contiene gli oggetti del computer.

    Quello che suggerirei è il seguente. Nel dominio A crea un gruppo locale, nel dominio B crea un gruppo globale.

    Rendere il gruppo globale nel dominio B un membro del gruppo locale nel dominio A.

    Fare clic con il button destro del mouse sull'Ou contenente i sisthemes che si desidera consentire e select le properties;. Nella scheda protezione, fare clic su avanzato.

    Aggiungere il gruppo locale di dominio e select l'opzione Autorizzato per autenticare la casella di controllo.

    Ciò consentirà a tutti gli utenti del dominio b che sono membri del gruppo globale, i diritti di firmare nei sisthemes che hai designato.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.