在脱节的命名空间中使用 Kerberos 进行身份验证

Question

我的网络中的Kerberos 有问题。

我的 Active Directory 域名配置为 "acme.com"。但是，DNS suffix 是 "wifi.acme.com"。在计算机（端点 1）中，我尝试对端点 2 执行 SMB 查询

dir \\\\endpoint2.wifi.acme.com\admin$

失败并出现以下错误：

“不支持该请求”。

我有一个限制NTLM 传出连接的安全策略（网络安全：限制NTLM ：传出NTLM 到远程服务器的流量）。

在Wireshark 中我可以看到Kerberos TGS 请求返回错误：

“err-s-principal-unknown kerberos”。

我尝试了以下解决方案，但没有成功：

1. 用正确的DNS suffix 更新msDS-AllowedDNSSuffixes 属性。
2. 将主机名定义为Kerberos realm mappings（如Kerberos-SSO-Handling-Disjointed-Active-Directory-and-UNIX-DNS）

在不修改DNS suffix 和Active Directory domain 使其具有相同名称的情况下，是否有解决此问题的方法？

谢谢。

Answer 1

尝试使用两个斜杠而不是 4 个。

dir \\endpoint2.wifi.acme.com\admin$

您收到的错误消息很重要。错误 5 表示您已连接，但没有凭据。错误 53 表示您没有连接。

您为什么要试用 WIFI.acme.com？当您使用 FQDN 时，域后缀通常不会产生影响（在某些情况下可以）。

尝试 ping 资源并查看您是否收到响应（甚至是 IP 地址）。我怀疑你不是，你应该去 \endpoint2.acme.com\admin$。

如果所有其他方法都失败，请尝试 dir \\admin$，其中 IP 地址是“endpoint2”设备的 IP。