ADフォレスト間認証-PACにグループがありません

2つのフォレストで構成されるActive Directoryセットアップがあります。

• 1つのフォレストルートドメインと2つの直接の子ドメインを持つ1つのマルチドメインフォレスト
• DMZ発行のための1つの単一ドメインフォレスト

DMZドメインに3つの発信信頼、1つはフォレストルートドメインに対する推移的なフォレスト信頼、2つは外部の非推移的な信頼（ショートカット信頼）を作成しました。

4つのドメインすべてのDCはすべてグローバルカタログサーバーです。

以下でそれを視覚化しようとしました：

さて、ここに問題があります。ドメインのdmzRoot.tldセキュリティグループへのリソースへのアクセスを許可すると、セキュリティグループのメンバーであるユーザーには機能しますが、のセキュリティグループのメンバーであっても、ドメインのユーザーには機能しません。childAchildAchildBchildA

たとえば、ローカル管理者にメンバーサーバーへのアクセスを許可するとしますdmzRoot.tld。childA.ForestRoot.tld\dmzAdministratorsメンバーサーバーのローカルのビルトインAdministratorsグループに追加します。

childA.ForestRoot.tld\dmzAdministrators 次のメンバーがいます：

• childA \ dmzAdmin
• childB \ superUser

私はとして認証した場合さて、childA\dmzAdmin私は、ローカル管理者としてメンバサーバーにログオンすることができ、私はからの出力を見ている場合whoami /groups、childA.ForestRoot.tld\dmzAdministratorsグループが明確に記載されています。

childB\superUserただし、認証を行うと、アカウントにリモートログオンが許可されていないというメッセージが表示されます。アカウントを確認whoami /groupsしたところchildB\superUser、childA.ForestRoot.tld\dmzAdministratorsグループが表示されていません。

ほとんどのように思えるchildAグループSIDの認証時にPACに含まれていません飽きないchildBすべてのDCのは、GCのであっても、ユーザーを。

テストしたdmzRoot.tldのマシンでPAC検証を無効にしましたが、これは役に立ちませんでした。

これを効果的にトラブルシューティングする方法に関する提案はありますか？認証の証跡をたどって、失敗した場所を特定するにはどうすればよいですか？

ショートカットの信頼が問題の原因であることが判明しました。

AD Kerberos認証がドメイン間を移動する場合、ターゲットレルム（つまり）は、dmzRoot.tldレルム（たとえばchildA.ForestRoot.tld）を開始するユーザーが信頼されるドメインである信頼関係を識別します。

への推移的なフォレスト信頼ForestRoot.tldと外部への外部信頼（ショートカット信頼）の両方がchildAその条件に一致するため、ターゲットレルムはいずれかを選択する必要があり、ショートカット信頼は、フォレスト信頼の暗黙的な信頼関係よりも（明示的であるため）優先されます。 。

SIDフィルター検疫はデフォルトで発信信頼で有効になっているためchildA、認証時に信頼されるレルム（この場合はドメイン）からのSIDのみが受け入れられ、外部SIDはフィルターで除外されます。

結論として、これには2つの解決策があります。

• 外部の信頼を削除し、フォレストの信頼に依存します。フォレストの信頼は推移的であるため、フォレスト全体からのすべてのSIDがトークンに残ります。
• dmzRoot.tldドメインからの発信信頼でSIDフィルター検疫を無効にする

理にかなっていると思います