我想知道这是否可能:
我有 1 个 AD 域:内部域. 我想要创建二级域名:客户域.我希望我的SharePoint能够对来自 InternalDomain 和 CustomersDomain 的用户进行身份验证。
- 来自里面可以直接连接到 SharePoint内部域. (我猜是 DNS 问题)
- 来自的客户或员工外部将通过 WAP 和 ADFS 服务器连接 [内部的|顾客]领域(公共 IP 和 DNS)
但是,这是否是一个好的情况呢?为了:
- 管理客户 AD 帐户
- 在 SharePoint 中管理客户身份验证
- 从外部管理员工身份验证
因此,我的客户 AD 将仅存储客户登录 SharePoint 的凭据,不再具有其他权限。并且我的内部 AD 用户(或其中一些用户)将能够创建新的客户帐户。但同时,一些客户将能够创建新帐户或至少要求创建新帐户。
问我是否理解得不够清楚。这个想法很简单:处理员工 AD 帐户(AD 服务器上没有变化)、处理客户帐户、处理身份验证的最佳方式都是使用 SharePoint。
答案1
这是可能的,其中一种方法是:
1)从您的 CustomersDomain 到您的 InternalDomain 创建单向信任。
2) 在 CustomersDomain 中安装 SharePoint 场。由于域之间存在信任,因此内部用户也能够连接到它。
3)根据流量的来源,配置您的 DNS、防火墙、反向代理等,以将流量路由到您的农场。
请注意,在此设置中您不需要 ADFS。
如果您的域之间没有信任,那么您将需要 2 个 ADFS 场(每个域一个),在它们之间建立信任,并且可能进行一些自定义以根据用户的位置将用户路由到正确的服务器。这更复杂。
微软有一张名为“SharePoint 2010 产品的外联网拓扑”的图表,您可以查看它以找到更多想法(可在 technet 上获取,是第三个)。
答案2
我有同样的情况,但我无法在两个域之间建立信任,因为两个域具有相似的 NetBIOS 名称,并且当两个域控制器的 NeTBIOS 名称或 SID 相同时通常不会建立信任。请问如何才能启用 SharePoint 来处理两个域的用户的权限。