Dell Unity: Użytkownicy z zaufanej domeny nie mogą uzyskać dostępu do serwera Unity NAS (możliwość naprawienia przez użytkownika)

spb:/cores/service/user# svc_cifssupport dan -pdcdump

dan : commands processed: 1
command(s) succeeded
output is complete

1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6:  oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022

1660184568: SMB: 6:  Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6:   Trusted domain:trust.local [TRUST]
   GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6:    Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6:    SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6:    DC='-'
1660184568: SMB: 6:    Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
    KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
     AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
    Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
    Cnx=SUCCESS,DC request succeeded
    logon=SecureChannelOK 1 SecureChannel(s):
     [DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
    Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
    refCount=4 newElectedDC=0x0000000000 forceInvalid=0
    Discovered from: DNS

Command succeeded

2022/08/10-02:34:41.193175    2     7F3E68B41700     sade:SMB: 6:[dan]  authenticate trust\administrator S=22 SamLogonInvalidReply
2022/08/10-02:34:41.193182    2     7F3E68B41700     sade:SMB: 6:[dan]  authLogon=SamLogonInvalidReply Es=0x0
Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust'
2022/08/10-02:34:41.193194    5     7F3E68B41700     sade:SMB: 6:[dan]  2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt

/nas/bin/.server_config <nas server> -v "logsys set severity SMB=LOG_DBG3"

/nas/bin/.server_config <nas server> -v "logsys set severity SMB=LOG_PRINTF"

Uwierzytelnianie selektywne to ustawienie zabezpieczeń, które można ustawić w relacjach zaufania między lasami. Daje to administratorom usługi Active Directory, którzy zarządzają lasem ufającym, większą kontrolę nad tym, które grupy użytkowników w zaufanym lesie mogą uzyskiwać dostęp do zasobów udostępnionych w lesie ufającym. Ta zwiększona kontrola jest szczególnie ważna, gdy administratorzy muszą udzielić dostępu do zasobów udostępnionych w lesie organizacji ograniczonemu zestawowi użytkowników znajdujących się w lesie innej organizacji, ponieważ utworzenie zaufania zewnętrznego lub zaufania lasu zapewnia ścieżkę dla wszystkich żądań uwierzytelniania do przesyłania między lasami.

Chociaż ta akcja sama w sobie nie musi powodować zagrożenia dla żadnego z lasów, ponieważ cała zabezpieczona komunikacja odbywa się za pośrednictwem ścieżki, zaufanie zewnętrzne lub zaufanie lasu naraża większą powierzchnię na atak dowolnego złośliwego użytkownika znajdującego się w zaufanym lesie. Uwierzytelnianie selektywne pomaga zminimalizować ten narażony obszar, umożliwiając administratorom usługi Active Directory udzielanie nowych uprawnień do uwierzytelniania — obiektom komputerów w domenie zasobów — dla określonych kont użytkowników znajdujących się w lesie innej organizacji.

- Istnieją dwa rozwiązania, klient może wybrać jedno z nich w zależności od potrzeb swojego środowiska. 

1. Wyłącz "uwierzytelnianie selektywne" w konfiguracji zaufania domeny. 

Włącz selektywne uwierzytelnianie za pośrednictwem zaufania zewnętrznego: Powiernictwo domen i lasów | Usługa Microsoft Learn

2. Przyznaj użytkownikom w zaufanej domenie uprawnienie "Zezwolono na uwierzytelnianie". 

Przyznawanie uprawnienia Zezwolone na uwierzytelnianie na komputerach w domenie lub lesie ufającym | Microsoft Learn