Azure P2S убивает соединение Kerberos

Question

Azure P2S убивает соединение Kerberos

РЕДАКТИРОВАТЬ: Я могу подтвердить, что внесение изменений в реестр, как упомянуто здесь и здесь, фактически устраняет проблему. Но почему? Зачем мне нужен этот обходной путь только потому, что я использую ноутбук в VPN, хотя он мне не нужен на виртуальных машинах в подсети?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\DisableDomainCreds — установите значение 1.

Исходное сообщение:

У меня возникла странная проблема с доступом к общим файловым ресурсам на виртуальной машине, размещенной в Azure. Это включает в себя доступ к любой из папок SYSVOL контроллера домена.

Вот моя настройка: у меня есть ноутбук, подключенный к нашей виртуальной сети Azure через Azure P2S VPN. Внутри виртуальной сети Azure у меня есть несколько виртуальных машин. Оба моих контроллера домена находятся в одной виртуальной сети, а также пара серверов Windows. Мой ноутбук и все эти виртуальные машины присоединены к домену, скажем, ad.domain.com. Кажется, я получаю это и со всех ноутбуков наших пользователей.

Когда я пытаюсь получить доступ в проводнике Windows к общему ресурсу контроллера домена через \\dc1.ad.domain.com, он подключается так, как должен. Я могу видеть папку SYSVOL, получать к ней доступ и т. д. Если я попытаюсь получить к ней доступ через \\ad.domain.com (именно так работает объект групповой политики), я получу следующую ошибку:

      \\ad.domain.com is not accessible.  You might not have permission to use this network resource.  
Contact the administrator of this server to find out if you have access permissions."

The user name could not be found.

Если я попытаюсь получить доступ к тому же общему ресурсу с виртуальной машины в Azure, все будет работать как положено. Так что я знаю, что это что-то сетевое. если я попытаюсь получить доступ к \\vm1.ad.domain.com, все будет работать как положено. Но если я попытаюсь получить доступ к \\vm1, произойдет с той же ошибкой.

Заходя в Wireshark, вижу, что все пытается получить доступ к нужным IP. Так что это не DNS. Я могу подключиться к 445 и 88 по телнету. Так что это не простая блокировка брандмауэра. Но я получаю эту ошибку, просматривая Wireshark несколько раз:

      KDC_ERR_C_PRINCIPAL_UNKNOWN

Я в недоумении. Похоже, что-то с сетью, но я могу получить к ней полный доступ, пока использую полное доменное имя, но с объектами групповой политики это не вариант, и это явно указывает на то, что что-то сломано.

Я видел других людей с этой проблемой еще в 2015, 2017 и т. д., но мне еще не удалось найти решение. У кого-нибудь есть идеи?

Добавлю, что если я в cmd запишу «net use \\ad.domain.com», я получаю эту ошибку:

      System error 2221 has occurred.

The user name could not be found.

0

active-directory azure windows-server-2016 kerberos azure-vpn

Источник

alexander7567 23 ноя '22 в 19:45

0 ответов

Другие вопросы по тегам active-directory azure windows-server-2016 kerberos azure-vpn