Dell Unity:来自受信任域的用户无法访问 Unity NAS 服务器(用户可更正)
摘要: 在域信任配置中启用了选择性身份验证的情况下,来自受信任域的用户无法访问 Unity NAS 服务器。启用选择性身份验证后,来自受信任域的用户只能在获得特殊权限时访问 NAS 服务器。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
- 来自受信任域的用户无法通过 IP 或 FQDN 访问 Unity NAS 服务器。
- CIFS 服务器的 pdc 转储中提供了受信任的域信息。
- 从 /EMC/C4Core/log/c4_safe_ktrace.log 中,SamLogon 请求失败,并显示错误“AUTHENTICATION_FIREWALL_FAILED”。
- 请注意,只有在启用调试日志时,SamLogon 错误才会在 ktrace 中可见。
用于启用调试日志的命令:
禁用调试日志的命令:
- CIFS 服务器的 pdc 转储中提供了受信任的域信息。
spb:/cores/service/user# svc_cifssupport dan -pdcdump
dan : commands processed: 1
command(s) succeeded
output is complete
1660184568: SMB: 6: Dump DC for dom='CATEST' OrdNum=0
1660184568: SMB: 6: Domain=CATEST Next trusted domains update in 642 seconds
1660184568: SMB: 6: oldestDC:DomCnt=0,2 Time=Thu Aug 11 02:17:18 2022
1660184568: SMB: 6: Trusted domain info from DC='DC-1' (258 seconds ago)
1660184568: SMB: 6: Trusted domain:trust.local [TRUST]
GUID:00000000-0000-0000-0000-000000000000
1660184568: SMB: 6: Flags=0x22 Ix=0 Type=0x2 Attr=0x8
1660184568: SMB: 6: SID=S-1-5-15-dda732ea-ea90ce96-61bcbf65
1660184568: SMB: 6: DC='-'
1660184568: SMB: 6: Status Flags=0x0 DCStatus=0x547,0
>DC=DC0x0004e9bd18 DC-1[CATEST](10.10.100.100) ref=4 time(dns)=143 ms LastUpdt=Thu Aug 11 02:17:18 2022
KrbAccount=DAN$@CATEST.LOCAL Status=OK lifetime:34788 seconds credUsage=0x1
AccCred=0x0010089f08,0x001010c408 Buf=0x00063e3f58 L=2582 Flags=0x7
Pid=0000 Tid=0001 Uid=500004000071 SMB=0x210
Cnx=SUCCESS,DC request succeeded
logon=SecureChannelOK 1 SecureChannel(s):
[DAN] Fid=0x14000000a4 CallID=0x14 NLFlags=0x4107414d SessionKey:AES authV:[PRIVACY,sign:HMAC_SHA256,seal:AES128] Status=SUCCESS/SecureChannelOK
Capa=0x0 MxBufSz=0xffff MawRwSz=0xffff Nego=0x0000000000,L=0 Chal=0x0000000000,L=0,W2kFlags=0x3f3fd
refCount=4 newElectedDC=0x0000000000 forceInvalid=0
Discovered from: DNS
Command succeeded
- 从 /EMC/C4Core/log/c4_safe_ktrace.log 中,SamLogon 请求失败,并显示错误“AUTHENTICATION_FIREWALL_FAILED”。
2022/08/10-02:34:41.193175 2 7F3E68B41700 sade:SMB: 6:[dan] authenticate trust\administrator S=22 SamLogonInvalidReply 2022/08/10-02:34:41.193182 2 7F3E68B41700 sade:SMB: 6:[dan] authLogon=SamLogonInvalidReply Es=0x0 Em=AUTHENTICATION_FIREWALL_FAILED U='administrator' D='trust' 2022/08/10-02:34:41.193194 5 7F3E68B41700 sade:SMB: 6:[dan] 2SMB470 SamLogon[0] DC=DC-1 'DC authn error' NTstatus=AUTHENTICATION_FIREWALL_FAILED LogonSt
- 请注意,只有在启用调试日志时,SamLogon 错误才会在 ktrace 中可见。
用于启用调试日志的命令:
/nas/bin/.server_config -v "logsys set severity SMB=LOG_DBG3"
禁用调试日志的命令:
/nas/bin/.server_config -v "logsys set severity SMB=LOG_PRINTF"
原因
- 在信任配置上启用选择性身份验证。如果未明确授予“允许进行身份验证”权限,则来自受信任域的用户将无法访问 CIFS 服务器。
- 可从 Microsoft 文章中找到详细信息:
信任的安全注意事项:域和林信任 |Microsoft 学习
- 可从 Microsoft 文章中找到详细信息:
信任的安全注意事项:域和林信任 |Microsoft 学习
选择性身份验证是一种可在内存信任上设置的安全设置。它为管理信任林的 Active Directory 管理员提供了对受信任林中哪些用户组可以访问信任林中共享资源的更多控制。当管理员需要向位于另一个组织林中的有限用户组授予其组织林中共享资源的访问权限时,这种增强的控制尤其重要,因为创建外部信任或林信任为所有身份验证请求在林之间传输提供了一种途径。
虽然此操作本身并不一定对任一林造成威胁,因为所有安全通信都通过路径进行,但外部或林信任会使更大的表面受到位于受信任林中的任何恶意用户的攻击。选择性身份验证使 Active Directory 管理员能够为位于其他组织林中的特定用户帐户授予对资源域中的计算机对象的新身份验证权限,从而帮助最大限度减少此暴露区域。
解决方案
- 有两种解决方案,客户可以根据其环境需求选择其中一种解决方案。
1.在域信任配置中禁用 “选择性身份验证 ”。
通过外部信任启用选择性身份验证:域和林信任 |Microsoft 学习
2。向受信任域中的用户授予“允许进行身份验证”权限。
授予信任域或林中计算机的 允许身份验证 权限 |Microsoft 学习
受影响的产品
Dell EMC Unity文章属性
文章编号: 000202350
文章类型: Solution
上次修改时间: 14 3月 2023
版本: 3
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。