我有问题 Kerberos
在我的网络中。
我的 Active Directory 域名配置为 "acme.com"
.然而,DNS suffix
是 "wifi.acme.com"
.在计算机(端点 1)中,我尝试执行 SMB
查询端点2
dir \\\\endpoint2.wifi.acme.com\admin$
失败并出现以下错误:
"The request is not supported".
我有一个安全策略限制
NTLM
传出连接(网络安全:限制 NTLM
:传出 NTLM
到远程服务器的流量)。在
Wireshark
我可以看到 Kerberos TGS
请求返回错误:"err-s-principal-unknown kerberos".
我尝试了以下解决方案但没有成功:
msDS-AllowedDNSSuffixes
具有正确的属性 DNS suffix
. Kerberos realm mappings
(如 Kerberos-SSO-Handling-Disjointed-Active-Directory-and-UNIX-DNS ) 这个问题有没有不修改
DNS suffix
的解决方案?也不是 Active Directory domain
有相同的名字?谢谢。
最佳答案
尝试用两个斜杠而不是 4 来做。
dir \\endpoint2.wifi.acme.com\admin$
您收到的错误消息很重要。错误 5 表示您已连接,但没有凭据。错误 53 表示您没有连接。
你为什么要尝试 WIFI .acme.com?当您使用 FQDN 时,域后缀通常不会产生影响(在某些情况下可以)。
尝试 ping 资源,看看您是否得到响应(甚至 IP 地址)。我怀疑你不是,你应该去 \endpoint2.acme.com\admin$ 反而。
如果所有其他方法都失败,请尝试 目录\\admin$ 其中 IP 地址是“endpoint2”设备的 IP。
关于dns - 在脱节的命名空间中使用 Kerberos 进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46633593/