Dell Unity: Brugere fra et betroet domæne kan ikke få adgang til Unity NAS-serveren (kan rettes af brugeren)

spb:/cores/service/user# svc_cifssupport dan -pdcdump

dan : commands processed: 1
command(s) succeeded
output is complete

1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6:  oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022

1660184568: SMB: 6:  Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6:   Trusted domain:trust.local [TRUST]
   GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6:    Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6:    SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6:    DC='-'
1660184568: SMB: 6:    Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
    KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
     AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
    Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
    Cnx=SUCCESS,DC request succeeded
    logon=SecureChannelOK 1 SecureChannel(s):
     [DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
    Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
    refCount=4 newElectedDC=0x0000000000 forceInvalid=0
    Discovered from: DNS

Command succeeded

2022/08/10-02:34:41.193175    2     7F3E68B41700     sade:SMB: 6:[dan]  authenticate trust\administrator S=22 SamLogonInvalidReply
2022/08/10-02:34:41.193182    2     7F3E68B41700     sade:SMB: 6:[dan]  authLogon=SamLogonInvalidReply Es=0x0
Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust'
2022/08/10-02:34:41.193194    5     7F3E68B41700     sade:SMB: 6:[dan]  2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_DBG3"

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_PRINTF"

Selektiv godkendelse er en sikkerhedsindstilling, der kan indstilles på interforest trusts. Den giver Active Directory-administratorer, der administrerer et pålideligt område mere kontrol over, hvilke grupper af brugere i et betroet område, der kan få adgang til delte ressourcer i et område med tillid. Denne øgede kontrol er især vigtig, når administratorer skal give adgang til delte ressourcer i deres organisations område til et begrænset sæt brugere, som er placeret i en anden organisations område, da oprettelse af en ekstern eller forest-tillid giver en tid til, at alle godkendelsesanmodninger kan bevæge sig mellem de to virksomheder.

Selvom denne handling selv ikke nødvendigvis forårsager en trussel mod nogen af området, fordi al sikret kommunikation sker via forløbet, udsætter en ekstern eller Forest Trust en større overflade for angreb fra enhver ondsindet bruger, der er placeret i et betroet område. Selektiv godkendelse hjælper med at minimere dette blotlagte område ved at give Active Directory-administratorer mulighed for at tildele en ny godkendelsestilladelse – til computerobjekter i ressourcedomænet – til specifikke brugerkonti i en anden organisations område.

- Der findes to løsninger, som kunden kan vælge ud fra deres miljøbehov. 

1. Deaktiver "selektiv godkendelse" i konfigurationen af domænetillid. 

Aktivér selektiv godkendelse over en ekstern tillid: Domæne- og Forest-tillidsforhold | Microsoft Learn

2. Giv brugere i et betroet domæne med tilladelsen "Tilladt at godkende". 

Giv tilladelse til at godkende tilladelse på computere i et domæne eller område, der har tillid til | Microsoft Lær