NTLM autentifikacia mimo domeny

Dobry den.
Mame D2000ku, ktora bezi na serveri mimo nasej domeny a chceme tam pouzit NTLM na prihlasenie pouzivatela. NTLM prihlasenie zlyha, myslim, ze prave z dovodu, ze pouzivatel a D2000 server nie su v rovnakej domene - co treba na strane D2000 servera nakonfigurovat (povolit nejake porty, firewall, nejake nastavenie v D2000 …) aby sa to dalo pouzit “cez rozne domeny”?
Dakujem.

Dobry den.

Pokial mam viacero Windows domen a uzivatelia z domeny A sa chcu prihlasovat do D200ky v domene B s pouzitim autentifikacie Kerberos, tak musi byt definovany “domenovy trust” (spravcovia AD). Vid https://doc.ipesoft.com/pages/viewpage.action?pageId=17272563 popis parametra AuthSecPrinc.

Situacia pre NTLM - este sme to neskusali, ale porozmyslajme: medzi HI a kernelom sa vymienaju windowsacke “tokeny”. Ak su uzivatelia v domene A a server je v domene B, tak aby na strane servera token mohol byt Windowsom “spracovany a overeny”, tak zrejme musi byt pre domenu B. (ale mozno nie, ak existuje trust domen? Tj. B domena trustuje Acku?).

Cize alternativa 1:

V domene B (kde bezi D2000 server) si spravte ucet napr. “kosmel” a v HIcku zadavajte pri prihlasovani meno kosmel, domena B). Nevyhodou je, ze potrebujete ucet v domene B, o ktory sa treba starat (expiracia a pripadne menenie hesla? Na nejakom RDP serveri v domene B?)

Alternativa 2:

Administrátori vytvoria domenovy trust (tu moze byt v korporatnom prostredi silna nevola). Nasledne uzivatel kosmel v domene A by mohol pristupovat do D2000ky, pokial v konte by mal definovane ze je domena “A”:

Alternativa 3:

Tretia moznost je taky mix. D2000 na samostatnom stroji (resp. tusim moze byt aj v domene, ale skratka ako nazov domeny zadavate nazov toho pocitaca). Takisto musite vytvorit lokalneho uzivatela kosmel na pocitaci s D2000 serverom. A dat mu, ze heslo neexpiruje, pripadne pravidelne ho menit.

Vsetky 3 varianty mozu mat problemy. Netusim, co vsetko treba po strane firewallov, lebo toto je MS technologia. My ju iba vyuzivame. Tj. povieme windowsu aby generoval/overoval tokeny. Co vsetko ide na pozadi, o tom lepsie vedia spravcovia AD.

Este dodatok: ak budu problemy, tak idealne je to riesit interaktivne, ak sa da. Tj. cez teamviewer na vas pocitac a aj na server s D2000kou.