我想输入服务器 A 并列出服务器 B 上共享的目录内容。
我希望通过在服务器 A 的活动目录属性上设置 Kerberos 约束委派来启用对服务器 B 上的 cifs (SMB) 服务的 Kerberos 约束委派来做到这一点。但是,在我执行此操作后,当我从服务器 A 上的 PSSession 列出服务器 B 上共享的目录内容时,我得到权限被拒绝...
我在服务器 A 上也没有看到任何 Kerberos 流量,表明它正在尝试获取服务器 B 的票证。
有人知道我做错了什么吗?
所有计算机都运行 Windows Server 2012 R2。
谢谢!
啊哈!有一个负 Kerberos 缓存每 15 分钟过期一次。看这里。
显然,可以通过在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaKerberosParametersS4UCacheTimeout处创建具有值的 DWORD 来禁用它 0 .当我这样做时,我的Active Directory更改立即在ServerA上生效。
禁用负缓存后,我可以将ServerA上的委派设置为Trust this computer for delegation to specified services only + Use Kerberos only + cifs/ServerB和宾果游戏!我可以从服务器 A 中的 PSSession 访问服务器 B 上的文件共享。
太开心了!