我有一个活动目录域ad.example.com并且我配置了一个 UPN 别名example.com
当用户尝试登录时,[email protected]它如何知道域实际上是ad.example.com?
我不需要父区域中的 SRV 记录或其他东西来提示 AD 吗?
AskOverflow.Dev
该帐户的 UPN 在林中是唯一的,并复制到林中的所有 DC。当身份验证 DC 找到帐户时,它会找到域。
从我在别处读到的:
作为域成员,Windows 不会尝试找出您所在的领域 - 它总是与 KDC 对话以获取其默认领域(它加入的领域),并且初始 Kerberos AS-REQ 发送整个 UPN作为企业名称,允许 KDC 代替执行该工作。
因此,AS-REQ 中的 Kerberos 主体看起来像
user\@[email protected],并且您的 KDC 的工作就是确定该用户的实际位置(我假设通过在森林的全局目录中搜索具有匹配userPrincipalName属性的用户)。但是,作为连接到 AD 成员服务器的独立(工作组)客户端,Windows 还没有“默认领域”——在这种情况下,它确实会
_msdcs在 UPN 后缀处查询特定于 AD 的 SRV 记录。