Wir haben zwei separate Active Directory-Domänen, die eine Vertrauensbeziehung haben. Wenn ich auf eine Netzwerkfreigabe auf dem anderen Computer zugreife, werde ich nach einem Benutzernamen und einem Kennwort gefragt, obwohl ich als Benutzer angemeldet bin, der über Berechtigungen für die Freigabe verfügt. Außerdem enthält der Dialog unten die folgende Meldung:
„Das System hat einen möglichen Versuch erkannt, die Sicherheit zu gefährden“
Dies verursacht schwerwiegende Probleme mit einem der von uns ausgeführten Dienste. Ist dieses Verhalten zu erwarten? Ich würde nicht erwarten, dass ich meine Anmeldeinformationen erneut eingeben muss, da diese weitergegeben werden sollten und dies Probleme mit dem programmgesteuerten Zugriff auf die Netzwerkfreigabe verursacht. Hat jemand Vorschläge zur Diagnose des Problems?
Antwort1
Wenn ein Benutzer in einer Gesamtstruktur Zugriff auf eine Ressource in einer vertrauenswürdigen Remotedomäne benötigt, geschieht Folgendes im Hintergrund:
- Der Client kontaktiert einen KDC in seiner eigenen Domäne.
- Der KDC liefert dem Client ein sogenanntes Referral Ticket für die Remote-Domäne
- Der Client sendet das Empfehlungsticket an einen KDC im Trusting Forest.
- Das vertrauenswürdige KDC erkennt die Gültigkeit und Authentizität des Empfehlungstickets an
- Dem Benutzer wird ein Serviceticket für den Dienst in der Remotedomäne erteilt.
Dieser Vorgang wird genanntÜberweisungsverarbeitung.
Ohne eines der Folgenden weiter getestet zu haben, aber basierend auf dem folgenden KB-Artikel:Sie erhalten die Fehlermeldung „Das System hat einen möglichen Versuch erkannt, die Sicherheit zu gefährden“, wenn Sie versuchen, Sicherheitseinstellungen für einen Benutzer aus einer anderen Domäne in einen lokalen Domänenordner aufzunehmen., ich vermute, dass der Remote-Server versucht, die Authentizität des vertrauenswürdigen Benutzers selbst zu bestätigen.
Wenn der Server in der vertrauenswürdigen Domäne keinen Domänencontroller in der vertrauenswürdigen Domäne über TCP/88 kontaktieren kann, schlägt der Validierungsprozess mit Sicherheit fehl und Sie erhalten diese Warnung.
Überprüfen Sie die Perimeter-Firewalls zwischen den beiden Domänen und prüfen Sie, ob Datenverkehr in Richtung Port 88 unterbrochen wird.
Antwort2
Dies passierte einem meiner Kunden, nachdem ich ihn von einem anderen Techniker übernommen hatte. Das Problem wurde auf Probleme mit DNS-Servern zurückgeführt, die keinen lokalen Zugriff erlaubten (8.8.8.8 einziger Server, der auf der Netzwerkkarte aufgeführt ist), also habe ich mir die DHCP-Einstellungen angesehen, die auf dem Router waren. Dort habe ich das Problem gefunden, also DHCP auf den Einzelserver migriert, wo es hätte sein sollen, und die DNS-Einstellung in DHCP so konfiguriert, dass der DNS-Server des Domänencontrollers als primärer Server verwendet wird. Habe einen ausgeführt ipconfig /renewund mich abgemeldet, um die Verbindung zum Server ordnungsgemäß wiederherzustellen. Problem gelöst.