我有两个配置了非连续命名空间的域控制器。域之间建立了双向林信任和 crossRef 对象。我可以成功对任一域中的任何特定对象执行 LDAP 搜索。但是,我希望能够对指向单个 baseDN 的两个目录中的所有用户对象执行单个 LDAP 搜索。
这可能吗?
答案1
在我看来,设置 OpenLDAP 可能比您为了方便运行一个 LDAP 查询而需要做的工作要多。
我将创建一个 VBScript / PowerShell 脚本来获取提供的查询,针对两个域执行它,并将结果返回给您。
这是一个相当简单的脚本。如果我今晚晚些时候有时间而你还没有找到合适的解决方案(并且你感兴趣),我会尝试编写一个。
答案2
我认为任何 LDAP 客户端工具都不会自动在两台服务器上执行相同的查询(除非第一台服务器返回对第二台服务器的引用)。
您可以使用以下方式设置 LDAP 代理OpenLDAP的meta后端,它充当代理,将来自多个不同服务器的多个命名上下文集成到一个树中。我已成功使用它在多个 Windows 2003 域上执行此操作。添加覆盖rewrite,您可以在一个 LDAP 树下表示两个域。
例如,如果您有多个名为COMPANYONE.COM和的 AD 域COMPANYTWO.NET,则最终会得到以下 LDAP 树:
- o=所有公司
- dc=companyone,dc=com,o=所有公司
- 来自域的对象
COMPANYONE- dc=companytwo,dc=net,o=所有公司
- 来自域的对象
COMPANYTWO
因此,您可以基于基本 DN 进行搜索o=all-companies,这将返回来自两个服务器的条目。