我的网络中遇到Kerberos问题。
我的Active Directory域名配置为"acme.com"。但是,DNS suffix为"wifi.acme.com"。在计算机(endpoint1)中,我尝试对endpoint2执行SMB查询
dir \\\\endpoint2.wifi.acme.com\admin$
失败并出现以下错误:
“不支持请求”。
我有一个安全策略限制NTLM传出连接(网络安全:限制NTLM:传出NTLM到远程服务器的流量。
在Wireshark中,我可以看到Kerberos TGS请求返回时出现错误:
“err-s-principal-unknown kerberos”。
我尝试了以下解决方案但没有成功:
msDS-AllowedDNSSuffixes更新DNS suffix属性。Kerberos realm mappings(如Kerberos-SSO-Handling-Disjointed-Active-Directory-and-UNIX-DNS)在没有修改DNS suffix和Active Directory domain具有相同名称的情况下,是否有解决此问题的方法?
感谢。
答案 0 :(得分:0)
尝试用两个斜杠代替4。
dir \\endpoint2.wifi.acme.com\admin$
您收到的错误消息很重要。错误5表示您已连接,并且没有凭据。错误53表示您未连接。
您为什么要尝试 WIFI .acme.com?使用FQDN时,域后缀通常不会有所不同(在某些情况下可以)。
尝试仅ping资源,看看是否收到响应(甚至IP地址)。我怀疑您没有,并且您应该改为使用 \ endpoint2.acme.com \ admin $ 。
如果其他所有方法均失败,请尝试 dir \\ admin $ ,其中IP地址是“ endpoint2”设备的IP。