Dell Unity: Benutzer aus einer vertrauenswürdigen Domain können nicht auf den Unity-NAS-Server zugreifen (vom Nutzer korrigierbar).

Zusammenfassung: Benutzer aus einer vertrauenswürdigen Domain können nicht auf den Unity-NAS-Server zugreifen, da die selektive Authentifizierung in der Konfiguration der Domänenvertrauensstellung aktiviert ist. Wenn die selektive Authentifizierung aktiviert ist, können Benutzer aus einer vertrauenswürdigen Domain nur dann auf den NAS-Server zugreifen, wenn ihnen eine spezielle Berechtigung erteilt wurde. ...

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Symptome

- Benutzer aus einer vertrauenswürdigen Domain können nicht über IP oder FQDN auf den Unity-NAS-Server zugreifen. 

Informationen zur vertrauenswürdigen Domain sind im PDC-Dump des CIFS-Servers verfügbar. 
  
spb:/cores/service/user# svc_cifssupport dan -pdcdump
  
dan : commands processed: 1
command(s) succeeded
output is complete

1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6:  oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022

1660184568: SMB: 6:  Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6:   Trusted domain:trust.local [TRUST]
   GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6:    Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6:    SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6:    DC='-'
1660184568: SMB: 6:    Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
    KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
     AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
    Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
    Cnx=SUCCESS,DC request succeeded
    logon=SecureChannelOK 1 SecureChannel(s):
     [DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
    Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
    refCount=4 newElectedDC=0x0000000000 forceInvalid=0
    Discovered from: DNS

Command succeeded

- In /EMC/C4Core/log/c4_safe_ktrace.log schlug die SamLogon-Anfrage mit dem Fehler "AUTHENTICATION_FIREWALL_FAILED" fehl. 
2022/08/10-02:34:41.193175    2     7F3E68B41700     sade:SMB: 6:[dan]  authenticate trust\administrator S=22 SamLogonInvalidReply
2022/08/10-02:34:41.193182    2     7F3E68B41700     sade:SMB: 6:[dan]  authLogon=SamLogonInvalidReply Es=0x0
Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust'
2022/08/10-02:34:41.193194    5     7F3E68B41700     sade:SMB: 6:[dan]  2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt

Bitte beachten Sie, dass der SamLogon-Fehler nur in ktrace angezeigt wird, wenn das Debug-Protokoll aktiviert ist. 

Befehl zum Aktivieren des Debug-Protokolls:
  
/nas/bin/.server_config  -v "logsys set severity SMB=LOG_DBG3"

Befehl zum Deaktivieren des Debug-Protokolls:
  
/nas/bin/.server_config  -v "logsys set severity SMB=LOG_PRINTF"

Ursache

Selektive Authentifizierung ist in der Vertrauenskonfiguration aktiviert. Benutzer aus einer vertrauenswürdigen Domain können nicht auf den CIFS-Server zugreifen, wenn die Berechtigung "Allowed to Authenticate" nicht explizit gewährt wird. 

Details finden Sie in Microsoft-Artikeln: 

Sicherheitsüberlegungen für Vertrauensstellungen: Domänen- und Gesamtstrukturvertrauensstellungen | Microsoft- Informationen

Die selektive Authentifizierung ist eine Sicherheitseinstellung, die auf interforest Trusts festgelegt werden kann. Es bietet Active Directory-Administratoren, die eine vertrauenswürdige Gesamtstruktur managen, mehr Kontrolle darüber, welche Gruppen von Benutzern in einer vertrauenswürdigen Gesamtstruktur auf freigegebene Ressourcen in einer vertrauenswürdigen Gesamtstruktur zugreifen können. Diese erhöhte Kontrolle ist besonders wichtig, wenn Administratoren einem begrenzten Satz von Benutzern in der Gesamtstruktur eines anderen Unternehmens Zugriff auf gemeinsam genutzte Ressourcen in der Gesamtstruktur ihres Unternehmens gewähren müssen, da die Erstellung einer externen Oder Forest Trust einen Pfad für alle Authentifizierungsanforderungen für den Weg zwischen den Gesamtstrukturen bietet.

Obwohl diese Aktion allein nicht unbedingt zu einer Bedrohung für beide Gesamtstruktur führt, da die gesamte gesicherte Kommunikation über den Pfad erfolgt, setzt eine externe oder Gesamtstrukturvertrauensstellung eine größere Oberfläche für Angriffe durch böswillige Benutzer in einer vertrauenswürdigen Gesamtstruktur frei. Die selektive Authentifizierung trägt dazu bei, diesen gefährdeten Bereich zu minimieren, indem Active Directory-Administratoren eine neue Authentifizierungsberechtigung – für Computerobjekte in der Ressourcendomain – für bestimmte Benutzerkonten in der Gesamtstruktur eines anderen Unternehmens gewähren können.



Lösung

- Es gibt zwei Lösungen. Der Kunde kann je nach Umgebungsanforderungen eine dieser Lösungen auswählen. 

1. Deaktivieren Sie die "selektive Authentifizierung" in der Konfiguration der Domänenvertrauensstellung. 

Aktivieren Sie die selektive Authentifizierung über eine externe Vertrauensstellung: Domänen- und Gesamtstrukturvertrauensstellungen | Microsoft Learn

2. Gewähren Sie Benutzern in einer vertrauenswürdigen Domain die Berechtigung "Allowed to Authenticate". 

Gewähren der Berechtigung Zur Authentifizierung zulässig auf Computern in der vertrauenswürdigen Domain oder Gesamtstruktur | Microsoft- Informationen

Betroffene Produkte

Dell EMC Unity
Artikeleigenschaften
Artikelnummer: 000202350
Artikeltyp: Solution
Zuletzt geändert: 14 März 2023
Version:  3
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.