Ошибка The security identifier could not be resolved

rdp error logo

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз я вам показал, как вы можете удобно администрировать ваши серверы Windows с помощью крутого Windows Admin Center (WAC), который бесплатно нам предоставляет Microsoft. Сегодня я хочу вам показать интересную ситуацию с которой вы можете встретиться на RDS-ферме при попытке добавления прав на доступ к коллекции серверов сторонних групп безопасности из дочерних или доверенных доменов Active Directory. Ошибку я получал "The security identifier could not be resolved. Ensure that a two-way trust exists for the domain of the selected users." Давайте разбираться в чем дело.

‼️Ошибка доступа при добавлении групп безопасности в коллекцию RDS

Вчера я траблшутил ошибку ID 1306 "Remote Desktop Connection Broker Client failed to redirect the user ROOT\barboskin.d. Из его я могу сделать вывод, что мне удалось локализовать проблему.Error: NULL", где часть пользователей у меня не могла попасть на мою новую Remote Desktop Services High Availability ферму на Windows Server 2022. Там пока я не нашел решения пришлось экспериментировать и искать варианты.

Одним из таких вариантов была гипотеза, что пользователи не могли попасть на RDS-фермы из-за того, что группа безопасности в свойствах коллекции серверов была локальной в домене, после смены ее на универсальную ничего не поменялось. Так как у меня структура Active Directory состоит из корневого домена (серверный сегмент) и 3 трех пользовательских, я решил попробовать добавить группу безопасности дочернего домена напрямую в свойства коллекции (User Groups), но какого же было мое удивление, что я не смог это сделать, у меня выскочила ошибка:

The security identifier could not be resolved. Ensure that a two-way trust exists for the domain of the selected users. Exeption: The network path was not found

The security identifier could not be resolved. Ensure that a two-way trust exists for the domain of the selected users. Exeption: The network path was not found

Для меня это было дико странно, так как дочерний домен по умолчанию транзитивен корневому домену и они оба доверяют друг другу.

🛠Как устранить ошибку "The security identifier could not be resolved"

Все оказалось очень интересным. У вас в данном случае два варианта предоставить пользователям доступ к нужной коллекции.

  • 1️⃣Первый - Вы создаете в домене, где развернута данная RDS ферма, локальную доменную группу безопасности и ее добавлять в свойства коллекции, а в нее уже будите включать универсальные группы или пользователей других доменов, это позволяет их область действия.
  • 2️⃣Второй вариант, если хотите напрямую добавлять группы безопасности из других доменов, то вам необходимо добавить их DNS суффиксы в свойства протокола IPv4 на вашем сетевом подключении. Для этого вызовите окно "Выполнить" и введите в нем:

окно выполнить ncpa.cpl

  • 1️⃣Далее идем в свойства вашего сетевого интерфейса
  • 2️⃣Выбираем протокол IPv4 и его свойства
  • 3️⃣Переходим в дополнительные настройки
  • 4️⃣Активируем опцию "Append these DNS suffiex (in oder)" - основной оставьте первым, дополнительный вторым.
  • 5️⃣Сохраните данные настройки, после этого вы легко добавите в доступе коллекции RDS группу из другого домена

Читайте так же - Чем владеет Сбер

Добавление дополнительного DNS суффикса

Как посмотреть состав групп доступа к коллекции RDS с помощью PowerShell

Я приведу еще пару полезных команд, которые позволят вам так же удаленно или локально получать информацию, о вашей RDS ферме и ее коллекциях хостов. Первая команда покажет вам список доступа для коллекции Ter-Coll. Вам нужно выполнить команду на брокере в оснастке PowerShell.

Get-RDSessionCollectionConfiguration -CollectionName "Ter-Coll" -UserGroup

Powershell посмотреть состав групп доступа коллекции RDS

Добавить нужную группу или пользователя можно командой:

Set-RDSessionCollectionConfiguration -CollectionName "Ter-Coll" -UserGroup "ROOT\RDS-USERS"

На этом у меня все, с вами был Иван Сёмин, автор и создать крутого IT портала Pyatilistnik.org.

Дополнительные ссылки

  • https://www.heelpbook.net/2016/windows-rds-the-security-identifer-could-not-be-resolved-on-multiple-domains/
  • https://social.technet.microsoft.com/Forums/windowsserver/en-US/b243ec10-ae0c-4501-94b7-acd3a4d1e90e/rds-and-sid-error-with-twoway-trust?forum=winserverTS
  • https://social.technet.microsoft.com/Forums/windowsserver/en-US/d992d0a9-0656-4708-b058-466a21bc3543/rds-trust-relationship-issue?forum=winserverTS
  • http://terenceluk.blogspot.com/2015/06/adding-account-from-external-domain.html
Оцените статью
Настройка серверов windows и linux
Добавить комментарий

  1. Сергей

    Спасибо большое

  2. Иван Семин автор

    Очень рад, что смог вам помочь!