我们有一个有趣的情况。
我们有两个域,一个叫做 Smith(实际上不是,但你明白我的意思),这是我们的主要办公室域,用户登录时会根据该域进行身份验证。
另一个域名托管,其中有几台服务器运行数据库 (SQL Server) 服务器和 SharePoint。问题是这个域名也叫 Smith。
我们如何在这两个域之间同步用户密码?
我们可以在它们之间建立信任吗(即使它们具有相同的名称)并让这些用户能够通过 Windows 身份验证模式访问 SharePoint 和 SQL Server?
如果没有,您对我们如何实现这一目标有什么想法吗?
干杯
缺口
答案1
哎呀!如果两个域名的名称相同,那么您将无法建立信任关系。就 DNS 所知,这两个域名本质上是“相同的”,而要让名称解析从单个 DNS 服务器同时适用于这两个域名,则必须进行重大黑客攻击。两个域名的记录(例如,域名的“A”记录)将相互冲突,在两个 DNS 域名被黑客入侵的合并中,这些记录也无法“共存”。您在“业务”中遇到的情况我们称之为“真正的混乱(tm)”。
我甚至不确定微软的身份生命周期管理器是否可以处理密码同步,因为域之间的名称解析存在歧义。我对该产品了解不够多,无法下定论。我只能说它看起来非常昂贵。如果可能的话,我会避免使用它和其他目录“同步”产品,只是因为它增加了很多不必要的复杂性。
我强烈考虑重命名其中一个域名。请查看此处的文章:https://web.archive.org/web/1/http://techrepublic%2ecom%2ecom/5208-6230-0.html?forumID=102&threadID=229757&start=0 这是一个非常简单的过程,并为您提供最佳的配置(唯一的域名)。
我还没有重命名过像文章中那样复杂的域,但是带有几个 DC 的小域和一些稍微复杂一些的实验室示例似乎运行良好。