Я ожидал бы, что почтовый сервер находится на том же хосте как сервер, который работает. Почтовый сервер настроен для требования аутентификации прежде, чем передать для других серверов. Это - общая конфигурация.
Большинство почтовых серверов может быть настроено на релейный адрес электронной почты для доверяемых серверов. Вам будет нужен почтовый сервер, который будет настроен для доверия серверу, который неспособен к посланному электронному письму.
Оказывается, проблему вызвали доверительные отношения с ярлыком.
Когда аутентификация AD Kerberos проходит через домены, целевая область (т. Е. ] dmzRoot.tld
) определяет доверительные отношения, посредством которых исходная область пользователей (например, childA.ForestRoot.tld
) является доверенным доменом.
Так как транзитивное доверие леса к ForestRoot.tld
и внешнее доверие (сокращенное доверие) к childA
соответствуют этому условию, целевая область должна выбрать одно, а сокращенное доверие имеет приоритет (поскольку оно является явным) над неявным доверительным отношением в доверии леса.
Поскольку карантин фильтра SID включен для исходящих доверительных отношений по умолчанию, только идентификаторы безопасности из доверенной области (в данном случае домен childA
) будут учитываться при аутентификации, внешние идентификаторы безопасности будут отфильтрованы.
В заключение есть два решения этой проблемы:
dmzRoot.tld
Надежда это имело смысл