Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona la resolución cuando los nombres de bosque superpuestos provocan problemas una vez establecidas las confianzas de bosque.
Número de KB original: 2744558
Síntomas
Tiene varios bosques y tiene confianzas entre estos bosques. Tiene dos bosques que tienen nombres DNS superpuestos como:
forest1.com
forest2.forest1.com
Ahora, cuando tiene un tercer bosque forest3.com que tiene confianzas de bosque con los otros dos bosques, no puede trabajar con cuentas de forest2 en este bosque. Por ejemplo, cuando quiera agregar cuentas de bosque2 a una DACL en el bosque3, se producirá este error:
C:\temp>Icacls c:\temp\test1 /grant forest2.forest1.com\admins:r
forest2.forest1.com\admins: no se realizó ninguna asignación entre nombres de cuenta e identificadores de seguridad.
Procesado correctamente 0 archivos; Error al procesar 1 archivos
Al imprimir la información de confianza sobre el enrutamiento de sufijos, verá que el sufijo se notifica como conflictivos:
C:\>netdom trust forest3.com /namesuffixes:forest1.com
Name, Type, Status, Notes
- *.forest1.com, Sufijo de nombre, Habilitado
C:\>netdom trust forest3.com /namesuffixes:forest2.forest1.com
Name, Type, Status, Notes
- *.forest2.forest1.com, Sufijo de nombre, Conflicting, With forest1.com
En un seguimiento de red, puede ver una solicitud de vale de Kerberos de un usuario en forest2.forest1.com para un recurso de forest3.com produce un error en un controlador de dominio en el bosque3:
231 lsass.exe (708) <cliente<>dc forest3> KerberosV5 KerberosV5:TGS Request Realm: forest3.com Sname: cifs/fileserver.forest3.com233 Idle (0) <dc forest3><client> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_POLICY (12)
En un ETL de KDC verá algo parecido a:
DEB_ERROR,dll,pac_cxx3792,KdcFilterSids(),"No se pudo filtrar SIDS (LsaIFilterSids): 0xc000019b".
Causa
Kerberos requiere una asignación exacta de sufijos. LSA usa un conjunto de funciones para las búsquedas de dominio de enrutamiento y las reglas kerberos se usan allí para las confianzas de bosque.
Solución
Al reemplazar la confianza de bosque entre forest3.com y forest2.forest1.com por una confianza externa, el problema no se produce porque solo hay una asignación exacta de nombres de dominio y ninguna asignación de sufijos según sea necesario para Kerberos.
Otro enfoque para evitar este error es excluir el sufijo de forest2.forest1.com en la confianza del bosque entre forest3.com y forest1.com. A medida que el sufijo del bosque "secundario" está en conflicto, debe reactivar este sufijo en la confianza de "bosque secundario".
Más información
Referencias:
Exclusiones y confianzas de bosque: enrutamiento de sufijos de nombre
Enrutamiento de UPN con exclusiones: Consideraciones para implementar la confianza del bosque