Dell Unity:トラステッド ドメインのユーザーがUnity NASサーバーにアクセスできない(ユーザー修正可能)

Summary: トラステッド ドメインのユーザーは、ドメイン信頼構成で選択的認証が有効になっているUnity NASサーバーにアクセスできません。選択的認証が有効になっている場合、トラステッド ドメインのユーザーは、特別な権限が付与されている場合にのみNASサーバーにアクセスできます。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

- トラステッド ドメインのユーザーは、IPまたはFQDNを介してUnity NASサーバーにアクセスできません。

- 信頼できるドメイン情報は、CIFSサーバーのpdcダンプで使用できます。 
  
spb:/cores/service/user# svc_cifssupport dan -pdcdump
  
dan : commands processed: 1
command(s) succeeded
output is complete

1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6:  oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022

1660184568: SMB: 6:  Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6:   Trusted domain:trust.local [TRUST]
   GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6:    Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6:    SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6:    DC='-'
1660184568: SMB: 6:    Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
    KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
     AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
    Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
    Cnx=SUCCESS,DC request succeeded
    logon=SecureChannelOK 1 SecureChannel(s):
     [DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
    Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
    refCount=4 newElectedDC=0x0000000000 forceInvalid=0
    Discovered from: DNS

Command succeeded

- /EMC/C4Core/log/c4_safe_ktrace.logから、SamLogonリクエストがエラー「AUTHENTICATION_FIREWALL_FAILED」で失敗しました。 
2022/08/10-02:34:41.193175    2     7F3E68B41700     sade:SMB: 6:[dan]  authenticate trust\administrator S=22 SamLogonInvalidReply
2022/08/10-02:34:41.193182    2     7F3E68B41700     sade:SMB: 6:[dan]  authLogon=SamLogonInvalidReply Es=0x0
Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust'
2022/08/10-02:34:41.193194    5     7F3E68B41700     sade:SMB: 6:[dan]  2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt

- デバッグ ログが有効になっている場合、SamLogonエラーはktraceにのみ表示されることに注意してください。

デバッグ ログを有効にするコマンド:
  
/nas/bin/.server_config  -v "logsys set severity SMB=LOG_DBG3"

デバッグ ログを無効化するコマンド:
  
/nas/bin/.server_config  -v "logsys set severity SMB=LOG_PRINTF"

Cause

- 信頼構成で選択的認証が有効になっている。「Allowed to Authenticate」権限が明示的に付与されていない場合、トラステッド ドメインのユーザーはCIFSサーバーにアクセスできません。

- 詳細については、次のMicrosoft文書を参照してください。

信頼に関するセキュリティに関する考慮事項: ドメインとフォレストの信頼 |Microsoft Learn

選択的認証は、相互信頼に設定できるセキュリティ設定です。信頼するフォレストを管理するActive Directory管理者は、信頼できるフォレスト内のどのユーザー グループが信頼フォレスト内の共有リソースにアクセスできるかをより詳細に制御できます。この制御の強化は、管理者が組織のフォレスト内の共有リソースへのアクセスを別の組織のフォレストにある限られたユーザー セットに付与する必要がある場合に特に重要です。これは、外部またはフォレストの信頼を作成すると、フォレスト間を移動するすべての認証リクエストの経路が提供されるためです。

このアクション自体は必ずしもいずれかのフォレストに対する脅威を引き起こすわけではありませんが、すべてのセキュアな通信が経路を介して行われるため、外部またはフォレストの信頼は、信頼できるフォレストに存在する悪意のあるユーザーによって攻撃対象領域を拡大します。選択的認証は、Active Directory管理者が別の組織のフォレストにある特定のユーザー アカウントに対して、リソース ドメイン内のコンピューター オブジェクトに新しい認証権限を付与できるようにすることで、この公開領域を最小限に抑えるのに役立ちます。



Resolution

- 2つのソリューションがあり、お客様は環境のニーズに基づいてどちらかを選択できます。

1.ドメイン信頼構成で 「選択的認証」 を無効にします。

外部信頼を介した選択的認証を有効にします。ドメインとフォレストの信頼 |Microsoft Learn

2.トラステッド ドメイン内のユーザーに「Allowed to Authenticate」権限を付与します。

信頼するドメインまたはフォレスト内のコンピューターに対する許可された認証権限を付与します 。 |Microsoft Learn

Affected Products

Dell EMC Unity
Article Properties
Article Number: 000202350
Article Type: Solution
Last Modified: 14 Mar 2023
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.