Dell Unity: Os usuários do domínio confiável não podem acessar o servidor NAS do Unity (corrigível pelo usuário)

spb:/cores/service/user# svc_cifssupport dan -pdcdump

dan : commands processed: 1
command(s) succeeded
output is complete

1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6:  oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022

1660184568: SMB: 6:  Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6:   Trusted domain:trust.local [TRUST]
   GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6:    Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6:    SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6:    DC='-'
1660184568: SMB: 6:    Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
    KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
     AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
    Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
    Cnx=SUCCESS,DC request succeeded
    logon=SecureChannelOK 1 SecureChannel(s):
     [DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
    Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
    refCount=4 newElectedDC=0x0000000000 forceInvalid=0
    Discovered from: DNS

Command succeeded

2022/08/10-02:34:41.193175    2     7F3E68B41700     sade:SMB: 6:[dan]  authenticate trust\administrator S=22 SamLogonInvalidReply
2022/08/10-02:34:41.193182    2     7F3E68B41700     sade:SMB: 6:[dan]  authLogon=SamLogonInvalidReply Es=0x0
Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust'
2022/08/10-02:34:41.193194    5     7F3E68B41700     sade:SMB: 6:[dan]  2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_DBG3"

/nas/bin/.server_config  -v "logsys set severity SMB=LOG_PRINTF"

Autenticação seletiva é uma configuração de segurança que pode ser definida em trusts interforest. Ele oferece aos administradores do Active Directory que gerenciam uma floresta confiável mais controle sobre quais grupos de usuários em uma floresta confiável podem acessar recursos compartilhados em uma floresta confiável. Esse controle maior é especialmente importante quando os administradores precisam conceder acesso a recursos compartilhados na floresta de sua organização para um conjunto limitado de usuários localizados na floresta de outra organização, pois a criação de uma confiança externa ou de floresta fornece um caminho para que todas as solicitações de autenticação se percorguem entre florestas.

Embora essa ação por si só não cause necessariamente uma ameaça a uma floresta, pois todas as comunicações seguras ocorrem no caminho, uma confiança externa ou de floresta expõe uma superfície maior a ataques por qualquer usuário mal-intencionado localizado em uma floresta confiável. A autenticação seletiva ajuda a minimizar essa área exposta, permitindo que os administradores do Active Directory concedam uma nova permissão de autenticação — a objetos de computador no domínio de recursos — para contas de usuário específicas localizadas na floresta de outra organização.

Há duas soluções: o cliente pode escolher qualquer uma delas com base nas necessidades do ambiente. 

1. Desative a "autenticação seletiva" na configuração de confiança do domínio. 

Habilite a autenticação seletiva em vez de uma confiança externa: Confianças de domínio e floresta | Aprendizado da

Microsoft 2. Conceda aos usuários do domínio confiável a permissão "Allowed to Authenticate". 

Conceda a permissão de autenticação permitida em computadores no domínio ou na floresta confiável | Saiba mais sobre a Microsoft