我正在计划将两个域合并,就像承包公司那样。森林 A 和 B 位于遥远的站点,并且将建立单向森林信任,以便森林 A 中的域用户可以在森林 B 中的计算机上进行身份验证。
为了实现这一点,每个林的域控制器必须能够相互联系以建立和确认信任,但我的问题是其下必须发生什么样的底层网络魔法。
到目前为止,主流方法是在两个站点之间保持 VPN 连接,但 Technet 文档似乎表明 DNS 转发可能是可行的方法。是这样吗?
此外,如果 DNS 就足够了,这是否意味着必须有一个服务器在每个域的边界服务器上运行 DNS,以便可以通过互联网访问它们?它们必须如何配置?
谢谢!
答案1
看到这个technet 文章了解所需端口列表和位置。身份验证引用的路由提示保存在 TDO 中。您确实需要能够将请求转发到正确的 DNS 服务器进行名称解析(或复制 DNS 区域)。跨林信任不仅仅是 DNS 转发。您可能还会考虑动态功能分析