我有 3 个完全信任域(2 个子域和一个根域)。我需要使用 LDAP 来允许域用户进行身份验证。诀窍是我需要应用程序为子域使用 AD 服务器,但代理根域的 LDAP 查询和身份验证。我看到它可以使用 AD LDS 和一些信任和同步,但它看起来非常多毛且过于复杂。
它的短处是:
- 3 个域(Parent、ChildA、ChildB)
- 我的第 3 方应用程序将需要使用 ChildA 域服务器进行身份验证:父域中的用户或 b。ChildB 域中的用户
- 我已经在所有域之间建立了完全信任,并且常规 NTLM 身份验证工作正常(除非您尝试使用 LDAP 进行身份验证)
好吧,这个链接可以解释它:http: //blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx
基本上,连接计算机(工作站)需要能够在它计划连接的所有域上看到 AD DC 服务器;但连接的计算机(服务器)不需要能够看到连接到它的计算机的其他 AD DC 服务器。
因此,在实践中,您可能需要考虑用户(或应用程序)从哪里连接,并使这些域具有“更高权限”以查看这些 DC 服务器。
但是,如果您只使用 NTLM 类型的身份验证,那么只有 DC 需要看到彼此并且身份验证可以正常工作。尽管据我所知,如果 LDAP 查询连接到全局目录服务器,它就足够了。