ความน่าเชื่อถือของฟอเรสต์: SPN ไม่ตรงกันสำหรับชื่อที่ไม่ผ่านการรับรอง

ติดตั้ง

คอมพิวเตอร์ทุกเครื่องที่ใช้ Windows Server 2019

โดเมน ก

ฟอเรสต์ทรัสต์

• โดเมน A.local ไว้วางใจ โดเมนB.local
• โดเมนB.local ไว้วางใจ โดเมน A.local

สถานการณ์

ฉันนำเสนอสองสถานการณ์ด้านล่าง สถานการณ์ A ทำงานตามที่คาดไว้ ฉันมีคำถามเกี่ยวกับสถานการณ์ B

สถานการณ์ ก

[email protected] เข้าสู่ระบบ WorkStation.DomainB.local จากนั้นจากพรอมต์เรียกใช้พยายามเปิด \ไฟล์เซิร์ฟเวอร์.

ถาม: อันไหน ไฟล์เซิร์ฟเวอร์ จะปรากฏขึ้น?

• ก) FileServer.DomainA.local
• ข) FileServer.DomainB.local

A: (b) [แน่นอน -- เรากำลังใช้ a โดเมน B ผู้ใช้บน โดเมน B เวิร์กสเตชัน]

สถานการณ์ B

[email protected] เข้าสู่ระบบ WorkStation.DomainB.local จากนั้นจากพรอมต์คำสั่ง Run พยายามเปิด \ไฟล์เซิร์ฟเวอร์.

ถาม: การแชร์ของ FileServer ใดที่จะปรากฏ

• ก) FileServer.DomainA.local (เพราะเราล็อกอินด้วย โดเมนเอ ชื่อผู้ใช้)
• ข) FileServer.DomainB.local (เพราะเราล็อกอินเป็น โดเมน B คอมพิวเตอร์)

A: ไม่มีทั้งหมดข้างต้น ข้อความแสดงข้อผิดพลาดจะปรากฏขึ้นแทน:

\FileServer ไม่สามารถเข้าถึงได้ คุณอาจไม่ได้รับอนุญาตให้ใช้ทรัพยากรเครือข่ายนี้ ติดต่อผู้ดูแลระบบของเซิร์ฟเวอร์นี้เพื่อดูว่าคุณมีสิทธิ์การเข้าถึงหรือไม่

ชื่อบัญชีเป้าหมายไม่ถูกต้อง

คำถาม

ใครสามารถอธิบายทางเทคนิคได้ว่าทำไมสถานการณ์ B ถึงล้มเหลว โดยเฉพาะ:

1. สตริงอย่างไร "\ไฟล์เซิร์ฟเวอร์" แปลเป็นคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง?

   • ใช้ DNS หรือไม่ ถ้าไม่มีจะใช้อะไร?
   • มันแก้ไขเพื่อ FileServer.DomainA.local หรือ FileServer.DomainB.local?

2. SPN เกี่ยวข้องกันอย่างไร โดยเฉพาะข้อเท็จจริงที่ว่า setspn -L ไฟล์เซิร์ฟเวอร์ แสดงชื่อไม่ครบ เช่น โฮสต์/ไฟล์เซิร์ฟเวอร์ รวมถึงรายการที่มีคุณสมบัติครบถ้วนเช่น HOST/FileServer.DomainB.local

เดาของฉัน

1. DNS (และสามัญสำนึกเนื้อหา) แก้ไข ไฟล์เซิร์ฟเวอร์ ถึง FileServer.DomainB.local
2. อย่างไรก็ตาม, \ไฟล์เซิร์ฟเวอร์ (CIFS/double-back-slash) แก้ไขเป็น FileServer.DomainA.local.
3. SPN (อะไรก็ตามที่เป็นอยู่) กำลัง "แก้ไข" ไป FileServer.DomainB.local
4. แหล่งที่มาของ DomainA/DomainB ไม่ตรงกันใน (2) และ (3) ชื่อบัญชีเป้าหมายไม่ถูกต้อง