Não sei ao certo por que sou o único a encontrar isso, acho que é um problema maior com os protocolos Server 2012 e RDS ... Com as máquinas de 2008, você pode usar uma confiança unidirecional para autenticar entre domínios com o serviço TSGateway, mas com 2012 ele quebra ao executar uma confiança unidirecional. Estou tentando implementar uma relação de confiança bidirecional que age como uma confiança unidirecional para tudo, menos a autenticação kerberos para coisas como os serviços TSGateway e RDS ...
Um pequeno histórico, atualmente tenho dois domínios (A e B) com uma relação de confiança externa. (Confiança de saída em A, os usuários em B podem acessar dispositivos em A)
No momento, posso fazer login em um computador no domínio A e adicionar um usuário do domínio B à GUI. (Eu também posso fazer isso do CLI, mas isso não é relevante aqui)
Quando eu construo meu domínio de teste, posso recriar esse comportamento. Se eu criar o domínio de teste com uma confiança bidirecional, autenticação em todo o domínio em ambas as direções, esse comportamento não será alterado, embora me permita autenticar na direção inversa (duh) que eu não quero.
Quando altero o Domínio B para 'autenticação seletiva' por algum motivo, a GUI de Usuários e Computadores para de funcionar conforme o esperado.
- Para computadores com domínio B, ainda posso navegar na GUI como normal e
até mesmo adicionar usuários do domínio A, embora eles não tenham permissão para efetuar login, devido a
a configuração de autenticação seletiva.
- Para computadores do domínio A, a navegação na GUI não permite a seleção de usuários ou grupos, e a pesquisa avançada exibe um erro que diz: "O seguinte erro impediu a exibição de qualquer item: Erro não especificado"
- Para computadores com domínio A, se eu souber o nome de usuário do domínio B, posso adicionar a conta usando os comandos 'net localgroup' e tudo funciona bem, mas a GUI está quebrada, e isso provavelmente não será utilizável solução para a maioria dos nossos usuários ...
Minha pergunta (Desculpe levar tanto tempo para chegar a ela) é por que a autenticação seletiva muda o comportamento da confiança para que ela se comporte de maneira diferente de uma relação de confiança unidirecional, e há alguma coisa simples que estou perdendo?
Quando recebo o erro "não especificado" da GUI, recebo um erro no controlador de domínio do domínio B:
A Kerberos service ticket was requested.
Account Information: Account Name: bob@DOMAINA Account
Domain: DOMAINA Logon GUID: {00000000-0000-0000-0000-000000000000}
Service Information: Service Name: ldap/DC.DOMAINB/DOMAINB
Service ID: NULL SID
Network Information: Client Address: ::ffff:192.168.18.70 Client
Port: 62103
Additional Information: Ticket Options: 0x40800000 Ticket
Encryption Type: 0xFFFFFFFF Failure Code: 0xC Transited Services: -
This event is generated every time access is requested to a resource
such as a computer or a Windows service. The service name indicates
the resource to which access was requested.
This event can be correlated with Windows logon events by comparing
the Logon GUID fields in each event. The logon event occurs on the
machine that was accessed, which is often a different machine than the
domain controller which issued the service ticket.
Ticket options, encryption types, and failure codes are defined in RFC
4120.
Eu não entendo por que ele tenta se autenticar no DomainB usando 'bob' do DomainA, quando eu forneci credenciais de DomainB ...
Obrigado por qualquer ajuda que você possa fornecer, eu tenho batido nisso por 3 dias seguidos e não encontrei nada útil ainda.