当工作站或服务器尝试对另一个域中的用户进行身份验证时,工作站或服务器在联系本地域 DC 后是否直接联系其他域的 DC 进行身份验证?还是本地域 DC 代表工作站执行身份验证请求?
例如:
我目前有两个域名。
域名托管.contoso.com和office.contoso.com。
所有用户均在office.contoso.com域,因此用户[电子邮件保护]想要登录一台机器主机1.hosted.contoso.com。 做主机1.hosted.contoso.com需要有可见性域控制.office.contoso.com直接地?
答案1
用户 Smith 在域 office.contoso.com 上进行了身份验证。此域受 hosting.contoso.com 信任,并为用户 Smith 提供了 host1.hosted.contoso.com 的票证。
换句话说:用户在其自己的域(其他域无法验证)。因此,当用户连接到外部域时,DC 会为其他域(如果是受信任域)创建有效票证。因此,在您的示例中,host1 不需要查看 dc.office,但 dc.office 需要连接到 dc.hosted。
另请参阅http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx