如果您有两个域和林,即域 + 林 A 和域 + 林 B,并且您正在建立单向信任,以便域 + 林 B 将隐式信任 A,那么有没有办法确保所有与信任相关的流量仅通过域 B 中与 A 相关的 DC 中的一个预选 DC?
所有域和林都处于 Windows Server 2003 功能级别。升级 B 是一种选择。
完全不知所措。也许更新根提示?有了这个限制,在信任流量加密方面,某些路由问题(避免设置更多 IPSEC 隧道)将变得容易得多。
答案1
您可以通过确保域 A 对域 B 的名称解析查询仅返回感兴趣的 DC 来实现这一点。如果您要将 DNS 流量转发到域 B 以进行域 B 查询,则意味着使用 DNS 助记符 (http://support.microsoft.com/kb/267855)。可能不是您想要的。
另一种方法是在域 A 端托管域 B 的 DNS 区域(仅包含所需的详细信息)。因此,当发出 _kerberos_tcp.dc_msdcs.domainb.com 或 _ldap._tcp.dc._msdcs.domainb.com 类型的查询时,这些查询仅返回感兴趣的 DC。
我还认为您并不关心选择一个域 b dc 的单点故障。