Dell Unity:來自受信任網域的使用者無法存取 Unity NAS 伺服器 (可由使用者更正)
Summary: 來自受信任網域的使用者無法存取 Unity NAS 伺服器,而選擇性驗證會在網域信任組態中啟用。啟用選擇性驗證時,來自受信任網域的使用者只有在獲得特殊許可權時,才能存取 NAS 伺服器。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
- 來自受信任網域的使用者無法透過 IP 或 FQDN 存取 Unity NAS 伺服器。
- 可在 CIFS 伺服器的 pdc 傾印中取得受信任網域資訊。
- 從 /EMC/C4Core/log/c4_safe_ktrace.log,SamLogon 要求失敗,並顯示錯誤「AUTHENTICATION_FIREWALL_FAILED」。
- 請注意,只有在啟用偵錯記錄檔時,才會在 ktrace 中顯示 SamLogon 錯誤。
啟用偵錯記錄的命令:
停用偵錯記錄的命令:
- 可在 CIFS 伺服器的 pdc 傾印中取得受信任網域資訊。
spb:/cores/service/user# svc_cifssupport dan -pdcdump
dan : commands processed: 1
command(s) succeeded
output is complete
1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6: oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022
1660184568: SMB: 6: Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6: Trusted domain:trust.local [TRUST]
GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6: Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6: SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6: DC='-'
1660184568: SMB: 6: Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
Cnx=SUCCESS,DC request succeeded
logon=SecureChannelOK 1 SecureChannel(s):
[DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
refCount=4 newElectedDC=0x0000000000 forceInvalid=0
Discovered from: DNS
Command succeeded
- 從 /EMC/C4Core/log/c4_safe_ktrace.log,SamLogon 要求失敗,並顯示錯誤「AUTHENTICATION_FIREWALL_FAILED」。
2022/08/10-02:34:41.193175 2 7F3E68B41700 sade:SMB: 6:[dan] authenticate trust\administrator S=22 SamLogonInvalidReply 2022/08/10-02:34:41.193182 2 7F3E68B41700 sade:SMB: 6:[dan] authLogon=SamLogonInvalidReply Es=0x0 Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust' 2022/08/10-02:34:41.193194 5 7F3E68B41700 sade:SMB: 6:[dan] 2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt
- 請注意,只有在啟用偵錯記錄檔時,才會在 ktrace 中顯示 SamLogon 錯誤。
啟用偵錯記錄的命令:
/nas/bin/.server_config -v "logsys set severity SMB=LOG_DBG3"
停用偵錯記錄的命令:
/nas/bin/.server_config -v "logsys set severity SMB=LOG_PRINTF"
Cause
- 在信任組態上啟用選擇性驗證。如果未明確授予「允許驗證」許可權,來自受信任網域的使用者將無法存取 CIFS 伺服器。
- 您可以從 Microsoft 文章找到詳細資料:
信任的安全性考慮:網域和林斯信任 |Microsoft 瞭解
- 您可以從 Microsoft 文章找到詳細資料:
信任的安全性考慮:網域和林斯信任 |Microsoft 瞭解
選擇性驗證是一種安全性設定,可在毀件間信任上設定。它可讓管理信任之林的 Active Directory 系統管理員更能控制受信任之林中哪些使用者群組可以存取信任之林中的共用資源。當系統管理員需要授予位於另一組織之林區之有限使用者群組的共用資源存取權時,提高控制能力尤其重要,因為建立外部或造影片信任可為所有驗證要求提供一條途徑,讓使用者在間進行驗證。
雖然此行動本身不一定會對任一個林區造成威脅,因為所有安全通訊均發生在路徑上,但外部或林信任會使位於受信任之林區的任何惡意使用者暴露更大的表面攻擊。選擇性驗證可讓 Active Directory 系統管理員為位於另一組織之林區的特定使用者帳戶授予新的驗證許可權 (資源網域中的電腦物件),藉此協助將此公開區域降至最低。
Resolution
- 有兩種解決方案,客戶可根據其環境需求選擇其中一種解決方案。
1.停用網域信任組態中的 「選擇性驗證」 。
透過外部信任啟用選擇性驗證:網域和林斯信任 |Microsoft Learn
2.授予受信任網域中具有「允許驗證」許可權的使用者。
授予受信任網域或領地之電腦驗證許可權 |Microsoft 瞭解
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000202350
Article Type: Solution
Last Modified: 14 Mar 2023
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.