身份验证 – 我对选择性身份验证的双向信任似乎与单向信任相反
我不确定为什么我是唯一遇到此问题的人,我认为这是Server 2012和RDS协议的一个更大的问题…使用2008机器,您可以使用单向信任来使用TSGateway跨域进行身份验证服务,但2012年它在单向信任运行时中断.我正在尝试实现一种双向信任,对于TSGateway和RDS服务之类的东西,除了kerberos auth之外,对所有事情都是单向信任……
有点背景故事,我目前有两个域(A和B),单向,外部信任. (对A的传出信任,B中的用户可以访问A中的设备) 目前,我可以登录到域A中的计算机,并使用GUI从域B添加用户. (我也可以通过CLI完成,但这里不相关) 当我构建我的测试域时,我可以重新创建此行为.如果我使用双向信任创建测试域,则在两个方向上进行域范围的身份验证时,此行为不会更改,但它确实允许我以相反的方向(duh)进行身份验证,这是我不想要的. 当我因某种原因将域B更改为“选择性身份验证”时,用户和计算机GUI将按预期停止工作. >对于域B计算机,我仍然可以像平常一样浏览GUI,并且 我的问题(很抱歉花了这么长时间才得到它)是为什么选择性auth改变了信任的行为,使它的行为与单向信任不同,是否有一些我想念的简单事情? 当我从GUI中收到“未指定”错误时,我在域B的DC上收到错误:
我不明白为什么当我提供DomainB凭证时,它尝试使用DomainA的’bob’来对DomainB进行身份验证… 感谢您提供的任何帮助,我已经连续3天敲打这个并且还没有找到任何有用的东西.
您必须允许对要允许从外部域登录的计算机对象进行身份验证.
您可以通过计算机来计算机,也可以在OU中设置包含计算机对象的权限. 我建议的是以下内容.在域A中创建本地组,在域B中创建一个全局组. 使域B中的全局组成为域A中本地组的成员. 右键单击包含要允许的系统的ou,然后选择属性.在安全性选项卡中,单击“高级”. 添加域本地组,然后选择允许进行身份验证复选框. 这将允许来自域b的任何属于全局组成员的用户有权登录您指定的系统. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |