Comment résoudre les problèmes de conversion des Foreign Security Principal (FSP) ?

 

Bonjour à tous,

 

Il se pourrait que vous rencontriez des problèmes de conversion des FSP entre une forêt distante et un des domaines enfants de votre forêt (alors que entre les domaines racines, il n’y a pas de problème de conversion des FSP).

 

Les premières points à vérifier sont :

- La vérification du trust inter-forêt entre les domaines racines des 2 forêts

- La vérification des ports au niveau des pare-feux

- Voir si Restrictions for unauthenticated RPC clients est présent, si oui désactiver . Cf ces articles :

https://blogs.technet.microsoft.com/askds/2011/04/08/restrictions-for-unauthenticated-rpc-clients-the-group-policy-that-punches-your-domain-in-the-face/

https://blogs.technet.microsoft.com/askds/2011/07/28/troubleshooting-sid-translation-failures-from-the-obvious-to-the-not-so-obvious/

- Voir si les ports ephemeral sont bloqués, si oui les débloquer dans le pare-feu afin de voir s’il y a une amélioration

External firewall did not allow for communication on ephemeral ports

- Et enfin, si les points mentionnés ci-dessus sont vérifiés, créer un trust entre le domaine racine de la forêt distante et le domaine enfant de sa forêt afin de voir s’il y a une amélioration. Si vous n’avez pas la possibilité de créer ce trust, pensez à redémarrer les domaines contrôleurs du domaine racine (ou parent) dont le domaine enfant a des problèmes de conversion des FSP.

 

Cordialement,

Huu-Duc LÊ