Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce la risoluzione quando i nomi delle foreste sovrapposti causano problemi dopo la creazione di trust tra foreste.
Numero KB originale: 2744558
Sintomi
Sono presenti più foreste e si dispone di trust tra queste foreste. Sono presenti due foreste con nomi DNS sovrapposti, ad esempio:
forest1.com
forest2.forest1.com
Quando si dispone di una terza foresta forest3.com con trust tra foreste con le altre due foreste, non è possibile usare gli account di forest2 in questa foresta. Ad esempio, quando si desidera aggiungere account da forest2 a un DACL in forest3, si verifica questo errore:
C:\temp>Icacls c:\temp\test1 /grant forest2.forest1.com\admins:r
forest2.forest1.com\admins: non è stato eseguito alcun mapping tra i nomi degli account e gli ID di sicurezza.
Elaborato correttamente 0 file; Elaborazione non riuscita di 1 file
Quando si stampano le informazioni di attendibilità relative al routing del suffisso, si noterà che il suffisso viene segnalato come in conflitto:
C:\>netdom trust forest3.com /namesuffixes:forest1.com
Nome, Tipo, Stato, Note
- *.forest1.com, suffisso del nome, abilitato
C:\>netdom trust forest3.com /namesuffixes:forest2.forest1.com
Nome, Tipo, Stato, Note
- *.forest2.forest1.com, suffisso dei nomi, in conflitto, con forest1.com
In una traccia di rete è possibile visualizzare una richiesta di ticket Kerberos da un utente in forest2.forest1.com per una risorsa in forest3.com ha esito negativo rispetto a un controller di dominio nella foresta3:
231 lsass.exe (708) <client><dc forest3> KerberosV5 KerberosV5:TGS Request Realm: forest3.com Sname: cifs/fileserver.forest3.com233 Idle (0) <dc forest3><client> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_POLICY (12)
In un KDC ETL verrà visualizzato un messaggio simile al seguente:
DEB_ERROR,dll,pac_cxx3792,KdcFilterSids(),"Impossibile filtrare SIDS (LsaIFilterSids): 0xc000019b".
Causa
Kerberos richiede il mapping esatto dei suffissi. LSA usa un set di funzioni per le ricerche di dominio di routing e le regole Kerberos vengono usate per i trust tra foreste.
Risoluzione
Quando si sostituisce l'attendibilità della foresta tra forest3.com e forest2.forest1.com con un trust esterno, il problema non si verifica perché esiste solo un mapping esatto dei nomi di dominio e non viene eseguito alcun mapping di suffisso come richiesto da Kerberos.
Un altro approccio che evita questo errore consiste nell'escludere il suffisso di forest2.forest1.com nella relazione di trust tra forest3.com e forest1.com. Poiché il suffisso per la foresta "figlio" è in conflitto, è necessario riattivare questo suffisso nella relazione di trust "foresta figlio".
Ulteriori informazioni
Riferimenti:
Trust ed esclusioni tra foreste: routing del suffisso del nome
Routing UPN con esclusioni: considerazioni per la distribuzione di trust tra foreste