当工作站或服务器尝试对另一个域上的用户进行身份验证时,工作站或服务器是否在联系本地域 DC 后直接联系其他域的 DC 进行身份验证?还是本地域 DC 代表工作站进行身份验证请求?
示例:
我目前有两个域。
域hosts.contoso.com和office.contoso.com。
所有用户都在office.contoso.com域中创建,因此用户[email protected]想要登录到计算机host1.hosted.contoso.com。host1.hosted.contoso.com是否需要直接访问domain-control.office.contoso.com?
用户 Smith 在域 office.contoso.com 上进行了身份验证。此域受 hosts.contoso.com 信任,并为用户 Smith 提供 host1.hosted.contoso.com 的票证。
换句话说:用户在自己的域中进行了身份验证(其他域无法验证)。因此,当用户连接到外部域时,DC 会为另一个域(如果是受信任的域)创建有效票证。因此,在您的示例中,host1 不需要查看 dc.office,但 dc.office 需要连接到 dc.hosted。
也看看http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx