AD перекрестная лесная аутентификация - группы, отсутствующие в PAC
Я ожидал бы, что почтовый сервер находится на том же хосте как сервер, который работает. Почтовый сервер настроен для требования аутентификации прежде, чем передать для других серверов. Это - общая конфигурация.
Большинство почтовых серверов может быть настроено на релейный адрес электронной почты для доверяемых серверов. Вам будет нужен почтовый сервер, который будет настроен для доверия серверу, который неспособен к посланному электронному письму.
Оказывается, проблему вызвали доверительные отношения с ярлыком.
Когда аутентификация AD Kerberos проходит через домены, целевая область (т. Е. ] dmzRoot.tld ) определяет доверительные отношения, посредством которых исходная область пользователей (например, childA.ForestRoot.tld ) является доверенным доменом.
Так как транзитивное доверие леса к ForestRoot.tld и внешнее доверие (сокращенное доверие) к childA соответствуют этому условию, целевая область должна выбрать одно, а сокращенное доверие имеет приоритет (поскольку оно является явным) над неявным доверительным отношением в доверии леса.
Поскольку карантин фильтра SID включен для исходящих доверительных отношений по умолчанию, только идентификаторы безопасности из доверенной области (в данном случае домен childA ) будут учитываться при аутентификации, внешние идентификаторы безопасности будут отфильтрованы.
В заключение есть два решения этой проблемы:
- Удалить Внешние трасты и полагаются на траст Forest. Поскольку доверие леса является транзитивным, все идентификаторы безопасности всего леса останутся в вашем токене.
- Отключить карантин фильтра SID для исходящего доверия из домена
dmzRoot.tld
Надежда это имело смысл