Dell Unity:トラステッド ドメインのユーザーがUnity NASサーバーにアクセスできない(ユーザー修正可能)
概要: トラステッド ドメインのユーザーは、ドメイン信頼構成で選択的認証が有効になっているUnity NASサーバーにアクセスできません。選択的認証が有効になっている場合、トラステッド ドメインのユーザーは、特別な権限が付与されている場合にのみNASサーバーにアクセスできます。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
- トラステッド ドメインのユーザーは、IPまたはFQDNを介してUnity NASサーバーにアクセスできません。
- 信頼できるドメイン情報は、CIFSサーバーのpdcダンプで使用できます。
- /EMC/C4Core/log/c4_safe_ktrace.logから、SamLogonリクエストがエラー「AUTHENTICATION_FIREWALL_FAILED」で失敗しました。
- デバッグ ログが有効になっている場合、SamLogonエラーはktraceにのみ表示されることに注意してください。
デバッグ ログを有効にするコマンド:
デバッグ ログを無効化するコマンド:
- 信頼できるドメイン情報は、CIFSサーバーのpdcダンプで使用できます。
spb:/cores/service/user# svc_cifssupport dan -pdcdump
dan : commands processed: 1
command(s) succeeded
output is complete
1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6: oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022
1660184568: SMB: 6: Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6: Trusted domain:trust.local [TRUST]
GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6: Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6: SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6: DC='-'
1660184568: SMB: 6: Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
Cnx=SUCCESS,DC request succeeded
logon=SecureChannelOK 1 SecureChannel(s):
[DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
refCount=4 newElectedDC=0x0000000000 forceInvalid=0
Discovered from: DNS
Command succeeded
- /EMC/C4Core/log/c4_safe_ktrace.logから、SamLogonリクエストがエラー「AUTHENTICATION_FIREWALL_FAILED」で失敗しました。
2022/08/10-02:34:41.193175 2 7F3E68B41700 sade:SMB: 6:[dan] authenticate trust\administrator S=22 SamLogonInvalidReply 2022/08/10-02:34:41.193182 2 7F3E68B41700 sade:SMB: 6:[dan] authLogon=SamLogonInvalidReply Es=0x0 Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust' 2022/08/10-02:34:41.193194 5 7F3E68B41700 sade:SMB: 6:[dan] 2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt
- デバッグ ログが有効になっている場合、SamLogonエラーはktraceにのみ表示されることに注意してください。
デバッグ ログを有効にするコマンド:
/nas/bin/.server_config -v "logsys set severity SMB=LOG_DBG3"
デバッグ ログを無効化するコマンド:
/nas/bin/.server_config -v "logsys set severity SMB=LOG_PRINTF"
原因
- 信頼構成で選択的認証が有効になっている。「Allowed to Authenticate」権限が明示的に付与されていない場合、トラステッド ドメインのユーザーはCIFSサーバーにアクセスできません。
- 詳細については、次のMicrosoft文書を参照してください。
信頼に関するセキュリティに関する考慮事項: ドメインとフォレストの信頼 |Microsoft Learn
- 詳細については、次のMicrosoft文書を参照してください。
信頼に関するセキュリティに関する考慮事項: ドメインとフォレストの信頼 |Microsoft Learn
選択的認証は、相互信頼に設定できるセキュリティ設定です。信頼するフォレストを管理するActive Directory管理者は、信頼できるフォレスト内のどのユーザー グループが信頼フォレスト内の共有リソースにアクセスできるかをより詳細に制御できます。この制御の強化は、管理者が組織のフォレスト内の共有リソースへのアクセスを別の組織のフォレストにある限られたユーザー セットに付与する必要がある場合に特に重要です。これは、外部またはフォレストの信頼を作成すると、フォレスト間を移動するすべての認証リクエストの経路が提供されるためです。
このアクション自体は必ずしもいずれかのフォレストに対する脅威を引き起こすわけではありませんが、すべてのセキュアな通信が経路を介して行われるため、外部またはフォレストの信頼は、信頼できるフォレストに存在する悪意のあるユーザーによって攻撃対象領域を拡大します。選択的認証は、Active Directory管理者が別の組織のフォレストにある特定のユーザー アカウントに対して、リソース ドメイン内のコンピューター オブジェクトに新しい認証権限を付与できるようにすることで、この公開領域を最小限に抑えるのに役立ちます。
解決方法
- 2つのソリューションがあり、お客様は環境のニーズに基づいてどちらかを選択できます。
1.ドメイン信頼構成で 「選択的認証」 を無効にします。
外部信頼を介した選択的認証を有効にします。ドメインとフォレストの信頼 |Microsoft Learn
2.トラステッド ドメイン内のユーザーに「Allowed to Authenticate」権限を付与します。
信頼するドメインまたはフォレスト内のコンピューターに対する許可された認証権限を付与します 。 |Microsoft Learn
対象製品
Dell EMC Unity文書のプロパティ
文書番号: 000202350
文書の種類: Solution
最終更新: 14 3月 2023
バージョン: 3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。