信頼関係のないドメインが2つあります。DNSは名前解決のために転送されており、一方のDNSゾーンは委任されていますが、それ以外はドメイン間に関係がありません。コマンドの実行に問題があります。
net use \\SERVER2 /user:DOM2\User2
DOM1のメンバーサーバーにユーザーDOM1\User1としてログインします。User2と同じパスワードを持っているため、User2はロックアウトされます。ただし、
net use \\SERVER2 /user:[email protected]
問題なく動作します。Netbios 形式の使用を許可するのではなく、ロックアウトを停止したいです。私が見つけたものの詳細は以下にあります。
Windows Server 2008 R2 から Windows 2016 にアップグレードしています。両方のドメインに一般ユーザー アカウントがあり、パスワードは同期しています。ドメインはまだ 2008R2 ですが、この問題が発生しているサーバーは 2016 サーバーのみのようです。
私は持っている
- Netbios 名が DOM2 である FQDN ドメイン「DOM2.DOM1.com」
- DOM2 内のユーザー User2
- DOM2 のメンバー サーバー Server2
- Netbios 名が DOM1 である FQDN ドメイン「DOM1.com」
- DOM1 内のユーザー User1
- DOM1 のメンバー サーバー Server1
- ユーザー USER_2 と USER_1 は両方とも同じパスワードを持っています
- DNSは、両方のドメインが完全修飾名を使用せずに相互に解決できるように設定されています。
- 両方のドメインのメンバーサーバーには、DNSサフィックス検索リストにDOM1.ComとDOM2.DOM1.COMの両方があります。
- DOM1.com は、DOM2.DOM1.com DNS ゾーンを DOM2 の DNS サーバーに委任します。
- DOM2.DOM1.com DNS サーバーは、不明な DNS クエリを DOM1 の DNS サーバーに転送します。
以前は、User1としてログオンしたserver1で以下を実行してドライブをマッピングしていました。
net use \\SERVER2 /user:DOM2\User2
そして次のようなコマンドを使う
net use X: \\SERVER2\SHARE1
net use Y: \\SERVER2\SHARE2
最初のコマンドからキャッシュされた資格情報を使用してドライブをマップする
これは以前は機能していましたが、最初のコマンドで資格情報が無効になり、これを複数回繰り返すと、USER2アカウントが不正なパスワードでロックされます。
Server1で次のように入力すると、
net use \\SERVER2.DOM2.DOM1.com /user:DOM2\[email protected]
net use \\SERVER2 /user:DOM2\[email protected]
どちらの形式も機能します。DNSサフィックス検索リストにより、DOM1.COMサーバーからSERVER2名を解決できます。
私の目的は、アカウントとパスワードが正しいのにロックアウトされてしまうので、このロックアウトを防ぐ方法があるかどうかです。Netbios 名形式の使用を完全に拒否しても問題ありません。キャッシュされた資格情報の設定を可能にする Powershell スクリプトを入手できればよいのですが、Powershell のマップ ドライブ機能を確認したところ、\SERVER2.DOM2.DOM1.com にマップする機能がないようです。明示的な共有にマップする必要があります。