Kerberos使用自定义UPN后缀来自非域连接机器。

Question

我正在尝试从一个非域连接的Windows 10机器访问域中的资源。域是ad.example.com，但也有可选的UPN后缀example.com。

例如，当我使用具有默认UPN后缀(例如firstuser@ad.example.com)的用户访问文件共享时，Kerberos身份验证工作，因为它自动猜测正确的域(ad.example.com)，通过DNS解析来确定DC，执行LDAP ping，然后先获得TGT，然后再获取TGS。

当我对使用非默认UPN后缀(例如seconduser@example.com)的用户进行相同的尝试时，它尝试将领域猜测为example.com，这在DNS中当然不会解决。我通过为_msdcs.example.com到_msdcs.ad.example.com创建一个DNAME记录来修正这个问题，并让DNS部分以这种方式工作。问题是，现在LDAP ping仍然不能工作，因为它当然是对example.com的Netlogon属性(它提供零结果)的查询，而不是对ad.example.com (提供一个结果)的查询。这会导致身份验证回到NTLM，我绝对不想这样做，因为我计划在不久的将来完全禁用NTLM。

当您使用非默认的UPN后缀时，有什么方法可以让Kerberos从非域连接的机器上工作吗？

Answer 1

当您使用非默认的UPN后缀时，有什么方法可以让Kerberos从非域连接的机器上工作吗？

不幸的是没有。虽然这在Linux实现中很常见，但Windows目录体系结构和附加系统集成产品的复杂性通常阻止了这一点的实现。有关更多信息，请参阅这篇详细的文章，其中描述了解析和定位器处理过程中的步骤。

https://serverfault.com/a/1025351/20701

非域工作站的Kerberos认证

注意，在大型、复杂的目录拓扑中，UPN通常不是AD域的FQDN。这是为了使登录更友好和更容易(jsmith@company.com vs jsmith@childomainname.company.com或CHILDDOMAINNAME\jsmith)。这也使得在域之间移动主体变得透明，因此登录用户名不会更改。

但是，如果主名称和密码在AD上与客户端登录会话相同，则NTLM的回退将起作用。