Dell Unity: Los usuarios del dominio de confianza no pueden acceder al servidor NAS de Unity (corregible por el usuario)

spb:/cores/service/user# svc_cifssupport dan -pdcdump

dan : commands processed: 1
command(s) succeeded
output is complete

1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6:  oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022

1660184568: SMB: 6:  Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6:   Trusted domain:trust.local [TRUST]
   GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6:    Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6:    SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6:    DC='-'
1660184568: SMB: 6:    Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
    KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
     AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
    Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
    Cnx=SUCCESS,DC request succeeded
    logon=SecureChannelOK 1 SecureChannel(s):
     [DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
    Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
    refCount=4 newElectedDC=0x0000000000 forceInvalid=0
    Discovered from: DNS

Command succeeded

2022/08/10-02:34:41.193175    2     7F3E68B41700     sade:SMB: 6:[dan]  authenticate trust\administrator S=22 SamLogonInvalidReply
2022/08/10-02:34:41.193182    2     7F3E68B41700     sade:SMB: 6:[dan]  authLogon=SamLogonInvalidReply Es=0x0
Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust'
2022/08/10-02:34:41.193194    5     7F3E68B41700     sade:SMB: 6:[dan]  2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_DBG3"

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_PRINTF"

La autenticación selectiva es una configuración de seguridad que se puede establecer en confianzas entre dominios. Proporciona a los administradores de Active Directory que administran un bosque de confianza más control sobre qué grupos de usuarios en un bosque de confianza pueden acceder a recursos compartidos en un bosque de confianza. Este mayor control es especialmente importante cuando los administradores necesitan otorgar acceso a recursos compartidos en el bosque de su organización a un conjunto limitado de usuarios ubicado en el bosque de otra organización, ya que la creación de una confianza externa o bosque proporciona una ruta para todas las solicitudes de autenticación para viajar entre bosques.

Si bien esta acción por sí sola no causa necesariamente una amenaza para cualquiera de los bosques, debido a que todas las comunicaciones seguras ocurren a través de la ruta, una confianza externa o de bosque expone una superficie más grande a ataques de cualquier usuario malicioso ubicado en un bosque de confianza. La autenticación selectiva ayuda a minimizar esta área expuesta, ya que permite que los administradores de Active Directory otorguen un nuevo permiso de autenticación a objetos informáticos en el dominio de recursos para cuentas de usuario específicas ubicadas en el bosque de otra organización.

- Hay dos soluciones, el cliente puede elegir cualquiera de ellas según sus necesidades de entorno. 

1. Deshabilite la "autenticación selectiva" en la configuración de confianza de dominio. 

Habilite la autenticación selectiva a través de una confianza externa: Dominios y dominios de confianza | Microsoft Learn

2. Otorgue a los usuarios del dominio de confianza el permiso "Allowed to Authenticate". 

Otorgue el permiso Allowed to Authenticate en computadoras del dominio o bosque de confianza | Información de Microsoft