跨域信任关系异常解决
跨域信任关系异常解决
出现问题
我司近期在做域控账户的迁移,迁移的同时保证对原有的Fileserver访问正常,但是在使用AMDT迁移域账户后新域账户无法访问原来的Fileserver,以下是异常解决过程。
以下涉及到的计算机分别有:
Old Domian: Filesever;Old_DC
New Domain:New_DC;Test_Server
解决方案
Step1:DNS&SMB(Server Message Block)协议的配置和安全性检查
Test_Sever & Filesever
查询 DNS 信息和获取 SMB 客户端的配置信息
1 | nslookup severname |
Step 2:注册表中的特定 GUID 的存在检查
Test_Server
1 | netstat -aon|findstr “445” |
在注册表编辑器的左侧导航栏中,找到
1 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\NetCache\Shares |
在 Shares 键下,查看是否存在指定的 GUID {XXXXXXXXXXXX}。如果存在,表示该 GUID 在注册表中
Step 3:LAN Manager 认证级别的检查
Filesever;Old_DC;New_DC
检查注册表项 LmCompatibilityLevel 的值,注册表此处均设置LmCompatibilityLevel=5
在注册表编辑器的左侧导航栏中,找到
1 | HKEY_LOCAL_MACHINE\SYSTEM\CurrenControlSet\Control\Lsa |
Step 4 网络抓包
抓包工具抓取Test_Server在访问FileServer时候的网络情况
到FileServer访问时 ,提交了 ntlmssp 身份验证请求后,服务器直接status-not-support断开了
访问 Old_DC时,提交了 ntlmssp 身份验证后,Old_DC继续让提交凭据
问题应该不在客户端,在FileServer那台服务器的身份验证上
成功和失败的访问协商的都是使用 smb3.1
FileServer这台机器不接受跨域的这种访问
无论成功还是失败的网络报,协商时,第一次提交的ntlm认证信息都是null
FileServer不接受这种null
FileServer组策略设置 重启后生效
Step 5 策略更改
注意:此处设定可能与早期不让用户通过IP访问FileServer有关
1 | Rsop.msc |
问题解决,确实是因为早期策略设置隐藏IP访问共享文件夹