locked
Authentification entre deux domaines différents (relation d'approbation entre deux forêts) RRS feed

  • Discussion générale

  • Bonjour,
    J'ai un souci d'authentification une fois la relation d'approbation de forêt mise en place entre deux forêts. Chaque forêt contient un seul domaine Windows 2003.
    La relation d'approbation de forêt bi-directionnel avec authentification sélective a été mise en place sans problème.
    Sur un serveur du domaine A, je crée un dossier partagé nommé test avec contrôle total pour le groupe "tout le monde" au niveau des autorisations de partage. Dans les droits NTFS, je spécifie un compte X de l'autre domaine B avec comme droits "modification, lecture et exécution, affichage du contenu du dossier, lecture et écriture".
    Depuis le domaine B, le compte X logué sur un serveur essaie d'attaquer le répertoire du domaine A (\\domaineA\test) mais une fenêtre s'affiche comme quoi il y a un Echec de l'ouverture de session ; l'ordinateur sur lequel vous êtes connecté est protégé par un pare-feu d'authentification. Le compte spécifié n'est pas autorisé à s'authentifier sur l'ordinateur.
    De plus j'ai un avertissement dans les logs systèmes LSASRV SPNEGO ID 40960.
    J'ai le même problème en faisant l'opération inverse, c'est à dire un dossier sur le domaine B et authentification depuis le domaine A.
    Pour information, au niveau réseau, les deux domaines sont reliés par un lien VPN et d'après l'administrateur réseau, on laisse tout passer entre ces deux réseaux. De plus le service pare feu est désactivé sur les serveurs Windows 2003. J'ai fait le test en désactivant l'antivirus mais j'ai toujours le même problème.

    Est ce qqn a une idée?

    D'avanc merci pour votre réponse,

    Cdlt,
    mardi 1 décembre 2009 12:58

Toutes les réponses

  • Tu n'as pas du NAT entre les 2 car Kerberos ne passe pas au travers le NAT ?

    cdlt,

    Ludo

    http://ludovikdopierala.blogspot.com/
    jeudi 3 décembre 2009 09:32
  • Bonjour Ludovik,

    Merci d'être penché sur mon problème.

    C'est une question que je vais poser à l'administrateur réseaux. Vous allez avoir une réponse très bientôt.
    Sinon je peux vous dire que ca fonctionne bien lorsque je choisis Authentification pour toute les ressources de la forêt et non "authentification sélective" concernant la relation d'approbation. Par contre si sur le domaine B, je souhaite consulter l'intranet du domaine A (hhtp://intranet) j'ai une page "Impossible d'afficher la page" (impossible de trouver le serveur ou erreur DNS). Pourtant je ping bien l'intranet depuis le domaine B et au niveau DNS il résoud bien l'URL.
    Je ne vois pas pourquoi?

    Cdlt,

    jeudi 3 décembre 2009 12:56
  • Réponse de l'administrateur réseau : Pas de NAT entre ces deux réseaux.

    Merci
    jeudi 3 décembre 2009 12:59
  • Pour une authentification sélective :
    il faut affecter sur chaque Ordi les autorisations.
    Ensuite dans affichage avancé dans la console AD de ton domaine / tu fais clic droit propriété et tu ajoutes les users du domaine B
    Tu mets la sécu suivante : Lire + Autorisation d'authentifier

    cdlt,

    Ludo
    http://ludovikdopierala.blogspot.com

    jeudi 3 décembre 2009 13:45
  • Merci beaucoup pour votre réponse.

    Avez vous une idée concernant la consultation via IE de l'intranet du domaine A hébergé sous IIS à partir du domaine B (out en restant sur Authentification pour toutes les ressources de la forêt)?

    Cdlt,
    jeudi 3 décembre 2009 14:00