Я не уверен, почему я единственный, кто сталкивается с этим, я думаю, что это более серьезная проблема с протоколами Server 2012 и RDS ... На машинах 2008 года вы можете использовать одностороннее доверие для аутентификации между доменами с помощью TSGateway service, но с 2012 года он ломается при переходе через одностороннее доверие. Я пытаюсь реализовать двустороннее доверие, которое действует как одностороннее доверие для всего, кроме аутентификации Kerberos для таких вещей, как TSGateway и службы RDS ...
Небольшая предыстория. В настоящее время у меня есть два домена (A и B) с односторонним внешним доверием. (Исходящее доверие на A, пользователи в B могут получить доступ к устройствам в A)
На данный момент я могу войти на компьютер в домене A и добавить пользователя из домена B с графическим интерфейсом. (Я также могу сделать это из интерфейса командной строки, но здесь это не актуально)
Когда я создаю свой тестовый домен, я могу воссоздать это поведение. Если я создаю тестовый домен с двусторонним доверием и аутентификацией на уровне домена в обоих направлениях, это поведение не меняется, хотя оно позволяет мне авторизоваться в обратном направлении (да), чего я не хочу.
Когда я меняю домен B на «выборочную аутентификацию», по какой-то причине графический интерфейс «Пользователи и компьютеры» перестает работать должным образом.
Мой вопрос (извините, что до него добрался так долго): почему выборочная аутентификация изменяет поведение доверия так, что оно ведет себя иначе, чем одностороннее доверие, и есть ли какая-то простая вещь, которую мне не хватает?
Когда я получаю сообщение об ошибке «не указано» в графическом интерфейсе, я получаю сообщение об ошибке на контроллере домена для домена B:
Запрошен билет службы Kerberos.
Информация об учетной записи: Имя учетной записи: bob @ DOMAINA Домен учетной записи: DOMAINA GUID входа в систему: {00000000-0000-0000-0000-000000000000}
Информация о службе: Имя службы: ldap / DC.DOMAINB / DOMAINB ID службы: NULL SID
Сетевая информация: Адрес клиента: :: ffff: 192.168.18.70 Порт клиента: 62103
Дополнительная информация: Параметры билета: 0x40800000 Тип шифрования билета: 0xFFFFFFFF Код ошибки: 0xC Транзитные службы: -
Это событие генерируется каждый раз, когда запрашивается доступ к ресурсу, например компьютеру или службе Windows. Имя службы указывает ресурс, к которому был запрошен доступ.
Это событие можно сопоставить с событиями входа в систему Windows, сравнивая поля GUID входа в систему в каждом событии. Событие входа в систему происходит на компьютере, к которому был осуществлен доступ, который часто отличается от контроллера домена, выдавшего билет службы.
Параметры билета, типы шифрования и коды ошибок определены в RFC 4120.
Я не понимаю, почему он пытается аутентифицироваться в DomainB, используя 'bob' из DomainA, когда я предоставил учетные данные DomainB ...
Спасибо за любую помощь, которую вы можете оказать, я бьюсь об этом 3 дня подряд и пока не нашел ничего полезного.
Вы должны разрешить аутентификацию на объектах компьютеров, которым вы хотите разрешить вход из внешнего домена. Вы можете сделать это компьютер за компьютером, или вы можете установить разрешение в OU, которое содержит объекты компьютера.
Я бы предложил следующее. В домене A создайте локальную группу, в домене B создайте глобальную группу.
Сделайте глобальную группу в домене B членом локальной группы в домене A.
Щелкните правой кнопкой мыши объект, содержащий системы, которые вы хотите разрешить, и выберите свойства. На вкладке «Безопасность» щелкните «Дополнительно».
Добавьте локальную группу домена и установите флажок Разрешить аутентификацию.
Это позволит всем пользователям из домена b, которые являются членами глобальной группы, войти в указанные вами системы.