我的网络中有Kerberos
的问题。
我的Active Directory域名配置为"acme.com"
。然而,DNS suffix
是"wifi.acme.com"
。在计算机(endpoint1)中,我尝试对endpoint2执行SMB
查询
dir \\\\endpoint2.wifi.acme.com\admin$
失败并出现以下错误:
“不支持该请求”。
我有一个安全策略限制NTLM
传出连接(网络安全:限制NTLM
:传出NTLM
流量到远程服务器)。
在Wireshark
我可以看到Kerberos TGS
请求返回错误:
“err-s-principal-unknown kerberos”。
我尝试了以下解决方案但没有成功:
msDS-AllowedDNSSuffixes
更新DNS suffix
属性。Kerberos realm mappings
(如Kerberos-SSO-Handling-Disjointed-Active-Directory-and-UNIX-DNS)有没有修改DNS suffix
和Active Directory domain
同名的解决方案?
谢谢。
尝试使用两个斜杠而不是四个斜杠。
dir \\endpoint2.wifi.acme.com\admin$
您收到的错误消息很重要。错误5表示您已连接,并且没有凭据。错误53表示您没有连接。
你为什么要尝试WIFI.acme.com?当您使用FQDN时,域后缀通常不会产生影响(有些情况下可以)。
尝试ping资源,看看你是否得到了回复(甚至是IP地址)。我怀疑你没有,而且你应该去\ endpoint2.acme.com \ admin $。
如果所有其他方法都失败了,请尝试dir \\ admin $,其中IP地址是'endpoint2'设备的IP。