Autenticazione tra foreste AD: gruppi mancanti dal PAC

10

Ho una configurazione di Active Directory composta da 2 foreste:

  • 1 foresta multidominio con 1 dominio radice foresta e 2 domini figlio diretti
  • 1 foresta a dominio singolo per scopi di pubblicazione DMZ

Ho creato 3 trust in uscita nel dominio DMZ, 1 trust forestale transitivo contro il dominio radice della foresta e 2 trust non transitivi esterni (ovvero collegamenti di fiducia).

Tutti i controller di dominio in tutti e quattro i domini sono server di catalogo globale.

Ho provato a visualizzarlo di seguito: DMZ / Rapporti fiduciari interni

Ora, ecco il problema. Quando concedo l'accesso a una risorsa dmzRoot.tlda un gruppo di sicurezza nel childAdominio, funziona per gli utenti childAche appartengono al gruppo Sicurezza, ma non per gli utenti del childBdominio, anche se sono membri del gruppo di sicurezza childA.

Diciamo che voglio dare l'accesso dell'amministratore locale a un server membro nel dmzRoot.tldper esempio. Aggiungo childA.ForestRoot.tld\dmzAdministratorsal gruppo Administrators incorporato locale sul server membro.

childA.ForestRoot.tld\dmzAdministrators ha i seguenti membri:

  • Childa \ dmzAdmin
  • childB \ SuperUser

Ora, se eseguo l'autenticazione come childA\dmzAdmin, posso accedere al server membro come amministratore locale e se dai un'occhiata all'output da whoami /groups, il childA.ForestRoot.tld\dmzAdministratorsgruppo è chiaramente elencato.

Se eseguo l'autenticazione, childB\superUsertuttavia, viene visualizzato il messaggio che l'account non è autorizzato per l'accesso remoto. Se controllo whoami /groupsl' childB\superUseraccount, il childA.ForestRoot.tld\dmzAdministratorsgruppo NON è elencato.

Sembra quasi che il childAgruppo SID non childBvenga mai incluso nel PAC durante l'autenticazione degli utenti, anche se tutti i controller di dominio sono GC.

Ho disabilitato la convalida PAC sulla macchina in dmzRoot.tld su cui l'ho testata, ma questo non ha aiutato.

Qualche suggerimento su come risolverlo efficacemente? Come seguire la traccia dell'autenticazione per determinare dove fallisce?

active-directory  windows-server-2008-r2  authentication 
Mathias R. Jessen
fonte
2
@Lizz Naturalmente A e B hanno una fiducia tra di loro. Sono nella stessa foresta.
MDMarra

Risposte:

6

Si scopre che la fiducia nei collegamenti stava causando il problema.

Quando l'autenticazione di Kerberos AD attraversa domini, il realm target (es. dmzRoot.tld) Identifica una relazione di trust attraverso la quale gli utenti che originano realm (ad es. childA.ForestRoot.tld) Sono un dominio trusted.

Poiché sia ​​la fiducia transitoria della foresta nei confronti ForestRoot.tlddella fiducia esterna (la scorciatoia) nei confronti di childAtale condizione, il regno target deve sceglierne una, e la fiducia della scorciatoia ha la precedenza (perché è esplicita) sulla relazione di fiducia implicita nella fiducia della foresta .

Poiché la quarantena del filtro SID è abilitata per impostazione predefinita sui trust in uscita, solo i SID del dominio attendibile (in questo caso, il childAdominio) verranno onorati al momento dell'autenticazione, i SID esterni verranno filtrati.

In conclusione, ci sono due soluzioni a questo:

  • Rimuovere i trust esterni e fare affidamento sul trust foresta. Poiché la fiducia nella foresta è transitiva, tutti i SID dell'intera foresta rimarranno nel tuo token.
  • Disabilitare la quarantena del filtro SID sull'affidabilità in uscita dal dmzRoot.tlddominio

Spero che abbia senso

Mathias R. Jessen
fonte
Questo è interessante e buono a sapersi. C'è un motivo per cui avevi i trust di scorciatoia per cominciare? Avresti bisogno di un massimo di 1 referral indipendentemente dalla base della topologia mostrata, è stato un problema per qualche motivo?
MDMarra,
1
Penso che derivi da un'epoca in cui il dominio forestRoot.tld non era altamente disponibile - o per ignoranza, non l'ho progettato, mi sono semplicemente assunto la responsabilità operativa dell'ambiente dai team precedenti :)
Mathias R. Jessen
Ah, abbastanza giusto. Questo è buono, vale la pena aggiungere un segnalibro.
MDMarra
In realtà, alcuni dei domini secondari (l'immagine è una grossolana semplificazione della mia topologia, ho più di 2 domini secondari) ha solo controller di dominio in siti lontani dalla posizione fisica in cui si trovano sia i controller di dominio dmzRoot che forestRoot. Anche solo eliminare la necessità di un ulteriore referral abbreviando il dominio radice della foresta avrebbe potuto fare la differenza nel giorno in cui i domini secondari erano stati stabiliti e la rete tra le posizioni non era così veloce.
Mathias R. Jessen,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.