Я не уверен, почему я - единственный, сталкивающийся с этим, я думаю, что это - большая проблема с Сервером 2012 и протоколы RDS... С 2 008 машинами можно использовать, используют один путь доверие для аутентификации через домены с сервисом TSGateway, но с 2012 это повреждается при натыкании на один путь доверие. Я пытаюсь реализовать два пути доверие, которое действует как один путь доверие для всего, но kerberos автор для вещей как TSGateway и сервисы RDS...
Немного предыстории, я в настоящее время получал два домена (A и B) с одним путем, внешним доверием. (Исходящий доверие на A, пользователи в B могут получить доступ к устройствам в A),
В данный момент я могу войти в компьютер в домене A и добавить пользователя от домена B с GUI. (Я могу также сделать это от CLI, но это не релевантно здесь),
Когда я создаю свой тестовый домен, я могу воссоздать это поведение. Если я создаю тестовый домен с двухсторонней доверительной, аутентификацией всего домена в обоих направлениях, это поведение не изменяется, хотя это действительно разрешает меня автору в обратном направлении (понятное дело), которое я не хочу.
Когда я изменяю Домен B на 'выборочную аутентификацию' по некоторым причинам Пользователи и Компьютеры, GUI прекращает работать как ожидалось.
Мой вопрос (Извините, что заняли много времени для получения до него) состоит в том, почему выборочный автор изменяет поведение доверия так, чтобы это вело себя по-другому, чем одностороннее доверие и было там некоторой простой вещью, которую я пропускаю?
Когда я получаю 'неуказанную' ошибку от GUI, я получаю ошибку на DC для Домена B:
Сервисный билет Kerberos требовали.
Сведения об учетной записи: имя учетной записи: домен учетной записи bob@DOMAINA: вход в систему DOMAINA GUID: {00000000-0000-0000-0000-000000000000}
Информация о сервисе: Сервисное Название: Сервисный идентификатор ldap/DC.DOMAINB/DOMAINB: ПУСТОЙ SID
Информация о сети: клиентский адрес::: клиентский порт ffff:192.168.18.70: 62103
Дополнительная информация: опции билета: тип шифрования билета 0x40800000: код неисправности 0xFFFFFFFF: 0xC переданные транзитом сервисы: -
Это событие сгенерировано каждый раз, когда доступ запрашивается к ресурсу, такому как компьютер или служба Windows. Сервисное название указывает на ресурс, к которому был запрошен доступ.
Это событие может коррелироваться с событиями входа в систему Windows путем сравнения полей Logon GUID в каждом событии. Событие входа в систему имеет место на машине, к которой получили доступ, который часто является другой машиной, чем контроллер домена, который выпустил сервисный билет.
Опции билета, типы шифрования и коды неисправности определяются в RFC 4120.
Я не понимаю, почему это пытается пройти проверку подлинности против DomainB с помощью 'боба' от DomainA, когда я обеспечил учетные данные DomainB...
Спасибо за любую справку можно обеспечить, я барабанил в это в течение 3 дней прямо и ничто еще не нашел полезным.
Вы должны разрешить аутентификацию на компьютерных объектах, которым вы хотите разрешить входы из внешнего домена. Вы можете сделать это на компьютере, или вы можете установить разрешение в OU, которое содержит компьютерные объекты.
Я бы предложил следующее. В домене A создайте локальную группу, в домене B создайте глобальную группу.
Сделайте глобальную группу в домене B членом локальной группы в домене A.
Щелкните правой кнопкой мыши на ou, содержащей системы, которые вы хотите разрешить, и выберите свойства. В закладке безопасности щелкните Дополнительно.
Добавьте локальную доменную группу и выберите опцию Разрешить аутентификацию.
Это позволит любому пользователю домена b, который является членом глобальной группы, иметь права на вход в системы, которые вы назначили.
.