我的网络中有Kerberos的问题。
我的Active Directory域名配置为"acme.com"。然而,DNS suffix是"wifi.acme.com"。在计算机(endpoint1)中,我尝试对endpoint2执行SMB查询
dir \\\\endpoint2.wifi.acme.com\admin$
失败并出现以下错误:
“不支持该请求”。
我有一个安全策略限制NTLM传出连接(网络安全:限制NTLM:传出NTLM流量到远程服务器)。
在Wireshark我可以看到Kerberos TGS请求返回错误:
“err-s-principal-unknown kerberos”。
我尝试了以下解决方案但没有成功:
msDS-AllowedDNSSuffixes更新DNS suffix属性。Kerberos realm mappings(如Kerberos-SSO-Handling-Disjointed-Active-Directory-and-UNIX-DNS)有没有修改DNS suffix和Active Directory domain同名的解决方案?
谢谢。
尝试使用两个斜杠而不是四个斜杠。
dir \\endpoint2.wifi.acme.com\admin$
您收到的错误消息很重要。错误5表示您已连接,并且没有凭据。错误53表示您没有连接。
你为什么要尝试WIFI.acme.com?当您使用FQDN时,域后缀通常不会产生影响(有些情况下可以)。
尝试ping资源,看看你是否得到了回复(甚至是IP地址)。我怀疑你没有,而且你应该去\ endpoint2.acme.com \ admin $。
如果所有其他方法都失败了,请尝试dir \\ admin $,其中IP地址是'endpoint2'设备的IP。