我不知道为什么我是唯一遇到这种情况,我认为这是Server 2012和RDS协议的一个更大的问题…使用2008年的计算机,您可以使用TSGateway通过单向信任来跨域进行身份validation服务,但是到了2012年,它在运行一个单向信任时就会中断。 我试图实现一种双向信任,就像TSGateway和RDS服务一样,除了kerberosauthentication外,其他信任都是单向信任。
一个小背景,我目前有一个单向的两个域(A和B),外部信任。 (对A的外发信任,B中的用户可以访问A中的设备)
目前,我可以login域A中的计算机,并使用GUI添加域B中的用户。 (我也可以通过CLI来完成,但在这里没有关系)
当我构build我的testing域时,我可以重新创build这个行为。 如果我使用双向信任创buildtesting域,在两个方向上的域范围validation,这种行为不会改变,虽然它确实允许我在我不想要的相反方向(duh)进行validation。
由于某些原因,我将域B更改为“select性身份validation”时,“用户和计算机”GUI将按预期停止工作。
我的问题(对不起,花了这么长时间才能得到它)是为什么select性authentication改变了信任的行为,使其行为不同于单向信任,是否有一些简单的东西,我失踪?
当我从GUI中得到“未指定”错误时,域B上的DC出现错误:
Kerberos服务票据被请求。
帐户信息:帐户名称:bob @ DOMAINA帐户域:DOMAINAloginGUID:{00000000-0000-0000-0000-000000000000}
服务信息:服务名称:ldap / DC.DOMAINB / DOMAINB服务ID:NULL SID
networking信息:客户端地址::: ffff:192.168.18.70客户端端口:62103
其他信息:票证选项:0x40800000票据encryptiontypes:0xFFFFFFFF失败码:0xC转换服务: –
每次访问资源(如计算机或Windows服务)时都会生成此事件。 服务名称表示请求访问的资源。
通过比较每个事件中的loginGUID字段,可以将此事件与Windowslogin事件相关联。 login事件发生在被访问的机器上,这通常是与发出服务票据的域控制器不同的机器。
票据选项,encryptiontypes和失败代码在RFC 4120中定义。
我不明白为什么当我提供DomainB证书时,它使用来自DomainA的“bob”尝试使用DomainB进行身份validation…
感谢您可以提供的任何帮助,我一直在这一连串3天,没有发现任何有用的东西。
您必须在计算机上允许您允许从外部域login的对象上进行身份validation。 您可以通过计算机执行计算机,也可以在包含计算机对象的OU中设置权限。
我会build议如下。 在域A中创build一个本地组,在域B中创build一个全局组。
使域B中的全局组成为域A中本地组的成员
右键单击包含要允许的系统的ou,然后select属性。 在安全选项卡中,单击高级。
添加域本地组,并select允许validationcheckbox。
这将允许属于全局组成员的域b的任何用户login到您指定的系统。