Регистрация Войти
Рейтинг:1
Chris Stankevitz avatar Server

Доверие леса: несоответствие SPN для неполного имени

флаг in
Chris Stankevitz

Настраивать

Все компьютеры под управлением Windows Server 2019.

Домен А

Предмет Стоимость Полностью квалифицированный
Доменное имя Домен А ДоменA.local
Пользователь Пользователь А ПользовательA@DomainA.local
Сервер Файловый сервер FileServer.DomainA.local

Лесные трасты

  • ДоменA.local доверяет ДоменB.local
  • ДоменB.local доверяет ДоменA.local

Сценарии

Ниже я представляю два сценария. Сценарий А работает, как и ожидалось. У меня вопрос по сценарию Б.

Сценарий А

UserB@DomainB.local входит в Рабочая Станция.DomainB.local а затем из подсказки «Выполнить» пытается открыть \Файловый сервер.

В: Какой Файловый сервер будет появляться?

  • а) FileServer.DomainA.local
  • б) FileServer.DomainB.local

A: (b) [очевидно -- мы используем ДоменB пользователь на ДоменB рабочая станция]

Сценарий Б

ПользовательA@DomainA.local входит в Рабочая Станция.DomainB.local а затем из командной строки «Выполнить» пытается открыть \Файловый сервер.

В: Какие общие ресурсы FileServer появятся?

  • а) FileServer.DomainA.local (поскольку мы вошли в систему с Домен А имя пользователя)
  • б) FileServer.DomainB.local (поскольку мы вошли в ДоменB компьютер)

О: Ничего из вышеперечисленного. Вместо этого появится сообщение об ошибке:

\FileServer недоступен. Возможно, у вас нет разрешения на использование этого сетевого ресурса. Свяжитесь с администратором этого сервера, чтобы узнать, есть ли у вас права доступа.

Неверное имя целевой учетной записи

Вопрос

Может ли кто-нибудь технически объяснить, почему сценарий B терпит неудачу? Конкретно:

  1. Как выглядит строка "\Файловый серверперевести на конкретный компьютер?

    • Используется ли DNS? Если нет, то что используется?
    • Решает ли это FileServer.DomainA.local или же FileServer.DomainB.local?

  2. Как связано SPN, в частности тот факт, что setspn -L файловый сервер показывает неполные имена, такие как ХОСТ/Файловый Сервер а также полностью квалифицированные записи, такие как HOST/FileServer.DomainB.local

Моя догадка

  1. DNS (и, возможно, здравый смысл) разрешает Файловый сервер к FileServer.DomainB.local
  2. Однако, \Файловый сервер (CIFS/двойная косая черта) разрешается в FileServer.DomainA.local.
  3. SPN (что бы это ни было) «разрешает» FileServer.DomainB.local
  4. Несоответствие DomainA/DomainB в (2) и (3) является источником Неверное имя целевой учетной записи
60
0 + 0
spn
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.