信頼関係のある 2 つの別々の Active Directory ドメインがあります。他のマシンのネットワーク共有にアクセスすると、共有へのアクセス許可を持つユーザーとしてログオンしているにもかかわらず、ユーザー名とパスワードの入力を求められます。また、ダイアログの下部に次のメッセージが表示されます。
「システムはセキュリティを侵害する可能性のある試みを検出しました」
これにより、実行中のサービスの 1 つに深刻な問題が発生しています。この動作は想定どおりですか? 資格情報はパススルーされるはずなので、資格情報を再入力する必要はないと思いますが、これにより、ネットワーク共有へのプログラムによるアクセスに問題が発生します。問題の診断に役立つ提案はありますか?
答え1
あるフォレストのユーザーがリモートの信頼ドメインのリソースにアクセスする必要がある場合、バックグラウンドでは次の処理が行われます。
- クライアントは自身のドメイン内のKDCに接続します
- KDCは、クライアントにリモートドメインの紹介チケットと呼ばれるものを提供します。
- クライアントは信頼するフォレスト内のKDCに紹介チケットを送信します。
- 信頼するKDCは紹介チケットの有効性と信頼性を認識します
- リモートドメインのサービスに対してユーザーにサービスチケットが付与されます
このプロセスは紹介処理。
以下のいずれかをさらにテストしたわけではありませんが、次の KB 記事に基づいています。異なるドメインのユーザーのセキュリティ設定をローカル ドメイン フォルダーに含めようとすると、「システムがセキュリティを侵害する可能性のある試みを検出しました」というエラー メッセージが表示されるリモート サーバーが信頼されたユーザーの信頼性を独自に検証しようとしていると思われます。
信頼するドメイン内のサーバーが、tcp/88 上の信頼されるドメイン内のどのドメイン コントローラーにも接続できない場合、検証プロセスは確実に失敗し、警告が表示されます。
2つのドメイン間の境界ファイアウォールをチェックし、ポート88へのトラフィックがドロップされていないか確認します。
答え2
これは、別の技術者から引き継いだクライアントに発生しました。DNS サーバーがローカル アクセスを許可していない (NIC にリストされているサーバーは 8.8.8.8 のみ) という問題に突き止めたので、ルーターの DHCP 設定を確認しました。そこで問題が見つかったので、DHCP を本来あるべき単一のサーバーに移行し、ドメイン コントローラーの DNS サーバーをプライマリとして使用するように DHCP の DNS 設定を構成しました。 を実行してログオフし、ipconfig /renewサーバーに正しく再接続しました。問題は解決しました。