Identification demandée avec nom DNS et pas avec adresse IP Fermé

Question

Bonjour, 

J'ai un NAS qui est connecté dans un LAN classique, intégré dans un domaine AD 2012.

A partir du contrôleur de domaine ou de n'importe quel poste utilisateur utilisant ce contrôleur de domaine, une authentification est demandée lorsque je souhaite me connecter à ce NAS par son nom DNS.

Aucune authentification ne m'est demandée lorsque je souhaite m'y connecter avec son IP.

Le NAS est sur le même segment réseau que le contrôleur et que les postes utilisateurs.

Illustration :

A partir du DC ou d'un poste utilisateur sur segment 172.XXX.XXX.XXX 

\NAS-TOTO ==> Demande d'authentification
\172.XXX.XXX.XXX ==> OK

Dans le cas général, aucune authentification ne doit être demandée.

En revanche, à partir d'un autre DC ou poste utilisateur se trouvant sur un autre segment réseau du même domaine, aucune authentification n'est demandée.

Illustration :

A partir du DC ou d'un poste utilisateur sur segment 10.XXX.XXX.XXX

\NAS-TOTO ==> OK
\\172.XXX.XXX.XXX ==> OK

Les enregistrements DNS et PTR sont corrects. Les replications fonctionnent.

Je ne comprends pas pourquoi j'ai un tel soucis.

Je vous remercie pour votre aide.


Configuration: Windows / Firefox 52.0

kelux · Accepted Answer

Bonjour,

J'ai un NAS 
Des détails ? il tourne sous quoi ?

-

Sur l'objet ordinateur du NAS dans AD, qu'y a t il dans l'attribut ServicePrincipalName ?

--> Il faudra ajouter le SPN pour le nom DNS (et nom court) sur cet objet pour le service "host".

En gros il faut déclarer les SPN pour permettre l'authentification en  Kerberos.


https://docs.microsoft.com/en-us/archive/blogs/sqlserverfaq/why-do-we-need-spn-for-file-server-nas-ras-file-share-system-dns-alias-cname

Identification demandée avec nom DNS et pas avec adresse IP

1 réponse

Discussions similaires