我有 3 个完全信任域(2 个子域和一个根域)。我需要使用 LDAP 来允许域用户进行身份验证。诀窍是我需要应用程序为子域使用 AD 服务器但代理根域的 LDAP 查询和身份验证。我发现使用 AD LDS 和一些信任和同步可能可以实现这一点,但它看起来相当棘手且过于复杂。
简而言之:
- 3 个域(父母、孩子 A、孩子 B)
- 我的第三方应用需要使用 ChildA 域服务器来验证以下用户的身份:a. 父域中的用户或 b. ChildB 域中的用户
- 我已经在所有域之间建立了完全信任,并且常规 NTLM 身份验证可以正常工作(除非您尝试使用 LDAP 进行身份验证)
答案1
嗯,这个链接也许可以解释这一点:http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx
基本上,连接的计算机(工作站)需要能够看到它计划连接到的所有域上的 AD DC 服务器;但连接的计算机(服务器)不需要能够看到连接到它的计算机的其他 AD DC 服务器。
因此在实践中,可能需要您考虑用户(或应用程序)从哪里连接,并使这些域具有“更高的权限”才能看到这些 DC 服务器。
但是,如果您仅使用 NTLM 类型的身份验证,则只需 DC 相互查看,身份验证即可正常工作。但据我所知,如果连接到全局目录服务器,LDAP 查询就足够了。