# External Trust

외부 신뢰 모델은 서로 다른 포레스트에서 루트 트리가 아닌 하위 도메인 간의 비전이성 신뢰 관계입니다. 루트 트리 간의 신뢰 관계가 아니기 때문에 신뢰가 맺어진 도메인의 하위들에 대해서 전이성이 없습니다.

주로 회사 합병으로 인해 포레스트에 넣지 못하는 상황이나, 보안 경계 목적으로 사용하는 모델입니다.

신뢰 계정의 패스워드는 서로 공유하며 TDO에 저장되기 때문에, 신뢰받는 도메인은 신뢰 계정을 사용하여 신뢰하는 도메인에 사용자로써 인증하고 리소스에 접근이 가능합니다.

<figure><img src="/files/OZOmLjdMpx9DsempRjy1" alt=""><figcaption><p>트러스트 모델</p></figcaption></figure>

외부 신뢰 모델은 커버로스 인증을 지원하지 않기 때문에, 신뢰받는 도메인이라 할 지라도 신뢰하는 도메인에 대한 커버로스 인증은 불가능 합니다.

<div><figure><img src="/files/MKV1X4xcYpnHFAd1aFP0" alt=""><figcaption><p>TGS-REQ</p></figcaption></figure> <figure><img src="/files/6c2ynyjD8OTr0nvIExbQ" alt=""><figcaption><p>TGS-REP</p></figcaption></figure></div>

## References

{% embed url="<https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/dd560679(v=ws.10)?redirectedfrom=MSDN>" %}

{% embed url="<https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/kfso-not-work-in-external-trust-event-is-17>" %}

{% embed url="<https://setspn.blogspot.com/2009/09/ad-external-trusts-and-kerberos.html>" %}
\\
{% endembed %}

{% embed url="<https://jorgequestforknowledge.wordpress.com/2011/09/14/kerberos-authentication-over-an-external-trust-is-it-possible-part-6/>" %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://www.pentestwiki.com/active-directory/ad-trust/cross-forest/external.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.