Minha confiança bidirecional com autenticação seletiva parece se comportar em oposição a uma confiança unidirecional

4

Não sei ao certo por que sou o único a encontrar isso, acho que é um problema maior com os protocolos Server 2012 e RDS ... Com as máquinas de 2008, você pode usar uma confiança unidirecional para autenticar entre domínios com o serviço TSGateway, mas com 2012 ele quebra ao executar uma confiança unidirecional. Estou tentando implementar uma relação de confiança bidirecional que age como uma confiança unidirecional para tudo, menos a autenticação kerberos para coisas como os serviços TSGateway e RDS ...

Um pequeno histórico, atualmente tenho dois domínios (A e B) com uma relação de confiança externa. (Confiança de saída em A, os usuários em B podem acessar dispositivos em A)

No momento, posso fazer login em um computador no domínio A e adicionar um usuário do domínio B à GUI. (Eu também posso fazer isso do CLI, mas isso não é relevante aqui)

Quando eu construo meu domínio de teste, posso recriar esse comportamento. Se eu criar o domínio de teste com uma confiança bidirecional, autenticação em todo o domínio em ambas as direções, esse comportamento não será alterado, embora me permita autenticar na direção inversa (duh) que eu não quero.

Quando altero o Domínio B para 'autenticação seletiva' por algum motivo, a GUI de Usuários e Computadores para de funcionar conforme o esperado.

  • Para computadores com domínio B, ainda posso navegar na GUI como normal e até mesmo adicionar usuários do domínio A, embora eles não tenham permissão para efetuar login, devido a a configuração de autenticação seletiva.
  • Para computadores do domínio A, a navegação na GUI não permite a seleção de usuários ou grupos, e a pesquisa avançada exibe um erro que diz: "O seguinte erro impediu a exibição de qualquer item: Erro não especificado"
  • Para computadores com domínio A, se eu souber o nome de usuário do domínio B, posso adicionar a conta usando os comandos 'net localgroup' e tudo funciona bem, mas a GUI está quebrada, e isso provavelmente não será utilizável solução para a maioria dos nossos usuários ...

Minha pergunta (Desculpe levar tanto tempo para chegar a ela) é por que a autenticação seletiva muda o comportamento da confiança para que ela se comporte de maneira diferente de uma relação de confiança unidirecional, e há alguma coisa simples que estou perdendo?

Quando recebo o erro "não especificado" da GUI, recebo um erro no controlador de domínio do domínio B:

A Kerberos service ticket was requested.

Account Information: Account Name: bob@DOMAINA Account Domain: DOMAINA Logon GUID: {00000000-0000-0000-0000-000000000000}

Service Information: Service Name: ldap/DC.DOMAINB/DOMAINB Service ID: NULL SID

Network Information: Client Address: ::ffff:192.168.18.70 Client Port: 62103

Additional Information: Ticket Options: 0x40800000 Ticket Encryption Type: 0xFFFFFFFF Failure Code: 0xC Transited Services: -

This event is generated every time access is requested to a resource such as a computer or a Windows service. The service name indicates the resource to which access was requested.

This event can be correlated with Windows logon events by comparing the Logon GUID fields in each event. The logon event occurs on the machine that was accessed, which is often a different machine than the domain controller which issued the service ticket.

Ticket options, encryption types, and failure codes are defined in RFC 4120.

Eu não entendo por que ele tenta se autenticar no DomainB usando 'bob' do DomainA, quando eu forneci credenciais de DomainB ...

Obrigado por qualquer ajuda que você possa fornecer, eu tenho batido nisso por 3 dias seguidos e não encontrei nada útil ainda.

    
por Ryan Wallace 16.07.2014 / 00:08

1 resposta

0

Você precisa permitir a autenticação nos objetos de computador dos quais deseja permitir logins do domínio externo. Você pode fazer isso por computador, ou pode definir a permissão na UO que contém os objetos do computador.

O que eu sugiro é o seguinte. No domínio A crie um grupo local, no domínio B crie um grupo global.

Torne o grupo global no domínio B um membro do grupo local no domínio A.

Clique com o botão direito do mouse no ou contendo os sistemas que você deseja permitir e selecione propriedades. Na guia de segurança, clique em avançado.

Adicione o grupo local do domínio e selecione a caixa de seleção Permitido autenticar.

Isso permitirá que qualquer usuário do domínio b que seja membro do grupo global tenha direitos para entrar nos sistemas que você designou.

    
por 31.05.2017 / 15:38