本帖最后由 Spanlee 于 2023-12-13 15:46 编辑
分享一个atrust测试中遇到的问题 一、问题描述
二、客户需求及预期效果 客户需要做到个人空间访问不了\\bxxxxxxxc.com\fileshare,沙箱工作空间中可以\\bxxxxxxxc.com\fileshare,但个人空间需要访问到\\bxxxxxxxc.com(域策略下发需要使用的路径)
三、问题现象 \\bxxxxxxxc.com ---->此路径为AD共享路径,用于下发AD域策略和脚本。对应IP为AD服务器IP192.168.25.150,对应资源放在个人空间 \\bxxxxxxxc.com\fileshare ---->此路径为DFS根路径,用于访问文件服务器,对应IP为文件服务器IP192.168.25.151和192.168.25.152,对应资源放在UEM工作空间中。 当前现象: UEM工作空间截图--橙色窗口
个人空间仍然能访问截图--无颜色窗口
四、问题分析 UEM沙箱的smb拦截和放行是基于文件系统来做的,无法区分\\bxxxxxxxc.com和\\bxxxxxxxc.com\fileshare两个路径分别对应的真实服务器ip。现在沙箱内通过smb访问bxxxxxxxc.com\fileshare时,其实跟bxxxxxxxc.com\识别为同一个命名路径。使用真实服务器IP访问资源时不会出类似问题,只有使用相同域名访问不同路径时会出现以上问题。
五、解决方案 现有的技术方案实现不了客户预期效果,可尝试使用两个不同的域名,不要根据目录来区分如:\\bxxxxxxxc.com-->域服务器上的共享目录\\bxxxxxxxc2.com-->fileshare服务器上的共享目录
六、解决方案内部测试及效果 1、 域环境搭建创建域服务器,192.168.25.150,域名:bxxxxxxxc.com
创建子域服务器,192.168.25.151,域名:fileserver.bxxxxxxxc.com(此域只针对文件服务器进行使用)
DFS文件服务器,192.168.25.152,加入子域fileserver.bxxxxxxxc.com 2、 DFS搭建把文件服务器加入子域fileserver.bxxxxxxxc.com,然后在子域控制器(192.168.25.151)和文件服务器(192.168.25.152)上创建以fileserver.bxxxxxxxc.com为域名的命名空间,命名空间包括子域控制器(192.168.25.151)和文件服务器空间(192.168.25.152),根路径\\fileserver.bxxxxxxxc.com\fileserver 把子域控制器和文件服务器同时放入UEM工作空间
把主域资源放到个人空间
登录后资源显示如下:
3、 测试实现效果 (1)个人空间能访问主域共享\\bxxxxxxxc.com,但不能访问文件服务器共享\\fileserver.bxxxxxxxc.com\fileserver |