Dell Unity: Gebruikers van een vertrouwd domein hebben geen toegang tot de Unity NAS-server (op te lossen door gebruiker)

spb:/cores/service/user# svc_cifssupport dan -pdcdump

dan : commands processed: 1
command(s) succeeded
output is complete

1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6:  oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022

1660184568: SMB: 6:  Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6:   Trusted domain:trust.local [TRUST]
   GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6:    Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6:    SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6:    DC='-'
1660184568: SMB: 6:    Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
    KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
     AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
    Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
    Cnx=SUCCESS,DC request succeeded
    logon=SecureChannelOK 1 SecureChannel(s):
     [DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
    Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
    refCount=4 newElectedDC=0x0000000000 forceInvalid=0
    Discovered from: DNS

Command succeeded

2022/08/10-02:34:41.193175    2     7F3E68B41700     sade:SMB: 6:[dan]  authenticate trust\administrator S=22 SamLogonInvalidReply
2022/08/10-02:34:41.193182    2     7F3E68B41700     sade:SMB: 6:[dan]  authLogon=SamLogonInvalidReply Es=0x0
Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust'
2022/08/10-02:34:41.193194    5     7F3E68B41700     sade:SMB: 6:[dan]  2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_DBG3"

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_PRINTF"

Selectieve verificatie is een beveiligingsinstelling die kan worden ingesteld op interforest-vertrouwensrelaties. Het biedt Active Directory-beheerders die een vertrouwend forest beheren, meer controle over welke groepen gebruikers in een vertrouwd forest toegang hebben tot gedeelde bronnen in een vertrouwend forest. Deze verhoogde controle is vooral belangrijk wanneer beheerders toegang moeten verlenen tot gedeelde bronnen in het forest van hun organisatie aan een beperkte groep gebruikers die zich in het forest van een andere organisatie bevinden, omdat het creëren van een extern of forest-vertrouwen een pad biedt voor alle authenticatieverzoeken om tussen forests te reizen.

Hoewel deze actie op zich niet noodzakelijkerwijs een bedreiging vormt voor beide forests, omdat alle beveiligde communicatie plaatsvindt via het pad, stelt een extern of forest-vertrouwen een groter oppervlak bloot aan aanvallen door kwaadwillende gebruikers in een vertrouwd forest. Met selectief authenticatie kunt u dit blootgestelde gebied tot een minimum beperken door Active Directory-beheerders in staat te stellen een nieuwe verificatiemachtiging toe te kennen voor computerobjecten in het resourcedomein, voor specifieke gebruikersaccounts in het forest van een andere organisatie.

- Er zijn twee oplossingen, de klant kan een van beide kiezen op basis van hun omgevingsbehoeften. 

1. Schakel 'selectieve verificatie' uit in de configuratie van domein vertrouwen. 

Hiermee schakelt u selectief authenticatie in via een externe vertrouwensrelatie: Vertrouwensrelaties voor domein en forest | Microsoft Learn

2. Verleen gebruikers in het vertrouwde domein de machtiging 'Allowed to Authenticate'. 

Toestemming geven voor authenticatie op computers in het vertrouwde domein of forest | Microsoft Learn