Autenticação entre florestas do AD - grupos ausentes do PAC

10

Eu tenho uma instalação do Active Directory composta por 2 florestas:

  • 1 floresta de vários domínios com 1 domínio raiz da floresta e 2 domínios filhos diretos
  • 1 floresta de domínio único para fins de publicação DMZ

Eu criei 3 relações de confiança de saída no domínio DMZ, 1 confiança de floresta transitiva no domínio raiz da floresta e 2 relações de confiança não transitivas externas (também conhecidas como relações de confiança de atalho).

Todos os controladores de domínio dos quatro domínios são servidores de catálogo global.

Eu tentei visualizá-lo abaixo: DMZ / Relações de confiança interna

Agora, aqui está o problema. Quando concedo acesso a um recurso dmzRoot.tlda um grupo de segurança no childAdomínio, ele funciona para usuários childAque são membros do grupo Segurança, mas não para usuários do childBdomínio, mesmo sendo membros do grupo de segurança childA.

Digamos que eu queira conceder acesso de administrador local a um servidor membro, dmzRoot.tldpor exemplo. Eu adiciono childA.ForestRoot.tld\dmzAdministratorsao grupo Administradores interno interno no servidor membro.

childA.ForestRoot.tld\dmzAdministrators tem os seguintes membros:

  • childA \ dmzAdmin
  • childB \ superUser

Agora, se eu me autenticar como childA\dmzAdmin, posso fazer logon no servidor membro como administrador local e, se eu der uma olhada na saída whoami /groups, o childA.ForestRoot.tld\dmzAdministratorsgrupo está claramente listado.

Se eu me autenticar, childB\superUserno entanto, recebo uma mensagem de que a conta não está autorizada para logon remoto. Se eu procurar whoami /groupsa childB\superUserconta, o childA.ForestRoot.tld\dmzAdministratorsgrupo NÃO está listado.

Parece que os childASIDs do grupo nunca são incluídos no PAC ao autenticar childBusuários, mesmo que todos os controladores de domínio sejam GC.

Desativei a validação do PAC na máquina no dmzRoot.tld em que a testei, mas isso não ajudou.

Alguma sugestão de como solucionar esse problema de maneira eficaz? Como sigo a trilha de autenticação para determinar onde ela falha?

active-directory windows-server-2008-r2 authentication Mathias R. Jessen
fonte
2
@Lizz É claro que A e B têm uma confiança entre eles. Eles estão na mesma floresta.
precisa saber é o seguinte

Respostas:

6

Acontece que as relações de confiança do atalho estavam causando o problema.

Quando a autenticação do AD Kerberos viaja por domínios, o domínio de destino (ou seja, dmzRoot.tld) identifica uma relação de confiança através da qual os usuários que originam o domínio (por exemplo childA.ForestRoot.tld) são um domínio confiável.

Como a confiança transitiva da floresta ForestRoot.tlde a confiança externa (confiança do atalho) childAcorrespondem a essa condição, a região de destino precisa escolher uma e a confiança do atalho tem precedência (porque é explícita) sobre o relacionamento de confiança implícito na confiança da floresta .

Como a quarentena do filtro SID é ativada nas relações de confiança de saída por padrão, somente os SIDs da região confiável (nesse caso, o childAdomínio) serão respeitados na autenticação, os SIDs estrangeiros serão filtrados.

Em conclusão, existem duas soluções para isso:

  • Remova as relações de confiança externas e conte com a confiança da floresta. Como a confiança da floresta é transitiva, todos os SIDs de toda a floresta permanecerão no seu token.
  • Desativar o filtro SID em quarentena na confiança de saída do dmzRoot.tlddomínio

Espero que isso faça sentido

Mathias R. Jessen
fonte
Isso é interessante e bom saber. Existe uma razão pela qual você tinha o atalho de confiança para começar? Você precisaria de um máximo de 1 referência, independentemente da topologia mostrada, isso foi um problema por algum motivo?
MDMarra
1
Eu acho que decorre de uma época em que o domínio forestRoot.tld não estava muito disponível - ou por ignorância, não o projetei, simplesmente assumi a responsabilidade operacional do ambiente das equipes anteriores :)
Mathias R. Jessen
Ah, é justo. Este é um bom, porém, vale a pena marcar.
MDMarra
Na verdade, pensando nisso, alguns dos domínios filho (a imagem é uma simplificação grosseira demais da minha topologia, eu tenho mais de dois domínios filho) só tem controladores de domínio em sites distantes do local físico em que os controladores dmzRoot e forestRoot estão localizados. Até mesmo cortar a necessidade de uma referência extra ao pressionar o domínio raiz da floresta pode ter feito uma diferença no tempo em que os domínios filhos foram estabelecidos, e a rede entre locais não foi tão rápida.
Mathias R. Jessen