โฆษณาการรับรองความถูกต้องข้ามป่า - กลุ่มขาดหายไปจาก PAC

10

ฉันมีการตั้งค่า Active Directory ซึ่งประกอบด้วยฟอเรสต์ 2 อัน:

  • 1 ฟอเรสต์หลายโดเมนที่มีโดเมนรูทฟอเรสต์ 1 โดเมนและโดเมนย่อยโดยตรง 2 โดเมน
  • 1 ฟอเรสต์โดเมนเดียวสำหรับวัตถุประสงค์การเผยแพร่ DMZ

ฉันได้สร้างความไว้วางใจขาออก 3 รายการในโดเมน DMZ, ฟอเรสต์ฟอเรสต์ที่เชื่อถือได้ 1 รายการต่อโดเมนรูทฟอเรสต์และการเชื่อใจที่ไม่ใช่การส่งผ่านข้อมูลภายนอก 2 รายการ (aka. Shortcut Trusts)

DC ทั้งหมดในโดเมนทั้งสี่นั้นเป็นเซิร์ฟเวอร์ Global Catalog

ฉันพยายามที่จะเห็นภาพด้านล่าง: DMZ / ความสัมพันธ์ที่เชื่อถือได้ภายใน

ตอนนี้นี่คือปัญหา เมื่อฉันให้สิทธิ์การเข้าถึงทรัพยากรในdmzRoot.tldกลุ่มความปลอดภัยในchildAโดเมนจะทำงานสำหรับผู้ใช้childAที่เป็นสมาชิกของกลุ่มความปลอดภัย แต่ไม่ใช่สำหรับผู้ใช้ในchildBโดเมนแม้ว่าจะเป็นสมาชิกของกลุ่มความปลอดภัยchildAก็ตาม

สมมติว่าฉันต้องการให้สิทธิ์ผู้ดูแลระบบภายในแก่เซิร์ฟเวอร์สมาชิกในdmzRoot.tldตัวอย่าง ฉันเพิ่มchildA.ForestRoot.tld\dmzAdministratorsกลุ่มผู้ดูแลระบบภายในเครื่องบนเซิร์ฟเวอร์สมาชิก

childA.ForestRoot.tld\dmzAdministrators มีสมาชิกต่อไปนี้:

  • childâ \ dmzAdmin
  • childB \ superuser

ตอนนี้ถ้าผมรับรองความถูกต้องเป็นchildA\dmzAdminฉันสามารถเข้าสู่ระบบเซิร์ฟเวอร์สมาชิกเป็นผู้ดูแลท้องถิ่นและถ้าผมจะดูที่ผลลัพธ์จากการwhoami /groupsที่childA.ForestRoot.tld\dmzAdministratorsกลุ่มที่มีการระบุไว้อย่างชัดเจน

ถ้าฉันรับรองว่าเป็นchildB\superUserอย่างไรก็ตามฉันได้รับข้อความว่าบัญชีไม่ได้รับอนุญาตสำหรับการเข้าสู่ระบบระยะไกล ถ้าฉันจะตรวจสอบwhoami /groupsสำหรับchildB\superUserบัญชีที่childA.ForestRoot.tld\dmzAdministratorsกลุ่มไม่ได้แสดงอยู่

ดูเหมือนว่าchildAกลุ่ม SID จะไม่รวมอยู่ใน PAC เมื่อตรวจสอบสิทธิ์childBผู้ใช้แม้ว่า DC ทั้งหมดจะเป็น GC ก็ตาม

ฉันปิดใช้งานการตรวจสอบ PAC บนเครื่องใน dmzRoot.tld ที่ฉันทดสอบ แต่สิ่งนี้ไม่ได้ช่วย

ข้อเสนอแนะใด ๆ เกี่ยวกับวิธีการแก้ไขปัญหาอย่างมีประสิทธิภาพ? ฉันจะติดตามเส้นทางการตรวจสอบเพื่อระบุว่ามันล้มเหลวได้อย่างไร

active-directory  windows-server-2008-r2  authentication 
Mathias R. Jessen
แหล่งที่มา
2
@ Lizz แน่นอน A และ B มีความไว้วางใจระหว่างพวกเขา พวกเขาอยู่ในป่าเดียวกัน
MDMarra

คำตอบ:

6

ปรากฎว่าทางลัดไว้ใจทำให้เกิดปัญหา

เมื่อการตรวจสอบสิทธิ์ AD Kerberos เดินทางข้ามโดเมนขอบเขตเป้าหมาย (เช่น. dmzRoot.tld) จะระบุความสัมพันธ์ที่ไว้วางใจซึ่งผู้ใช้ที่มีต้นกำเนิดในอาณาจักร (เช่น. childA.ForestRoot.tld) เป็นโดเมนที่เชื่อถือได้

เนื่องจากทั้งความเชื่อมั่นสกรรมกริยาฟอเรสต์ต่อForestRoot.tldและความไว้วางใจภายนอก (ความไว้วางใจทางลัด) ไปสู่การchildAจับคู่เงื่อนไขนั้นอาณาจักรเป้าหมายต้องเลือกหนึ่งรายการและความไว้วางใจทางลัดจะมีความสำคัญกว่า (เพราะชัดเจน) เหนือความสัมพันธ์ .

เนื่องจากการเปิดใช้งานการกรองตัวกรอง SIDนั้นจะเปิดใช้งานในความน่าเชื่อถือขาออกโดยค่าเริ่มต้นเฉพาะ SID จากขอบเขตที่เชื่อถือได้ (ในกรณีนี้childAโดเมน) จะได้รับเกียรติจากการตรวจสอบความถูกต้องส่วน SID ต่างประเทศจะถูกกรองออก

โดยสรุปมีสองวิธีแก้ปัญหานี้:

  • นำทรัสต์ภายนอกและพึ่งพาการเชื่อถือของฟอเรสต์ เนื่องจากความเชื่อถือของฟอเรสต์เป็นสกรรมกริยา SID ทั้งหมดจากภายในฟอเรสต์ทั้งหมดจะยังคงอยู่ในโทเค็นของคุณ
  • ปิดการใช้งานตัวกรอง SID กักกันความน่าเชื่อถือขาออกจากdmzRoot.tldโดเมน

หวังว่ามันสมเหตุสมผล

Mathias R. Jessen
แหล่งที่มา
สิ่งนี้น่าสนใจและน่ารู้ มีเหตุผลที่คุณมีความน่าเชื่อถือทางลัดในการเริ่มต้นด้วยหรือไม่ คุณต้องการผู้อ้างอิงสูงสุด 1 คนโดยไม่คำนึงถึงโทโพโลยีที่แสดงนั่นเป็นปัญหาด้วยเหตุผลบางอย่างหรือไม่
MDMarra
1
ฉันคิดว่ามันเกิดขึ้นจากช่วงเวลาที่โดเมน forestRoot.tld ไม่สามารถใช้งานได้สูง - หรือขาดความรู้ฉันไม่ได้ออกแบบมันฉันก็เข้ามารับผิดชอบด้านสิ่งแวดล้อมจากทีมก่อนหน้านี้ :)
Mathias R. Jessen
อายุติธรรมพอ นี่เป็นสิ่งที่ดี แต่คุ้มค่ากับการคั่นหน้า
MDMarra
จริง ๆ แล้วคิดว่าโดเมนลูกบางอัน (ภาพนี้เป็นภาพรวมของโทโพโลยีของฉันฉันมีโดเมนลูกมากกว่า 2 โดเมน) มี DCs ในไซต์เท่านั้นที่ห่างไกลจากตำแหน่งทางกายภาพที่มีทั้ง dmzRoot และ forestRoot DCs อยู่ แม้เพียงแค่ตัดความต้องการการอ้างอิงพิเศษหนึ่งรายการโดยการลัดโดเมนรากของฟอเรสต์อาจสร้างความแตกต่างในวันที่มีการสร้างโดเมนลูกและการสร้างเครือข่ายระหว่างสถานที่ก็ไม่เร็ว
Mathias R. Jessen
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.