我有一个森林和两个域。
远程站点有来自两个域的混合用户。
我的所有域控制器都是全局目录,并且已设置信任。
我是否需要在每个远程站点上都拥有两个域的域控制器来对用户进行身份验证,或者一个域中的单个全局编录服务器是否可以对另一个域中的用户进行身份验证?
如果可能的话,我会尝试避免 WAN 流量,并避免在每个站点拥有多个域控制器。
答案1
我是否需要在每个远程站点上都拥有两个域的域控制器来对用户进行身份验证,或者一个域中的单个全局编录服务器是否可以对另一个域中的用户进行身份验证?
另一个域中的 DC(无论是否是 GC)都无法对来自另一个域的用户(无论是否受信任)进行身份验证。
因此,您无法为域“BOB”设置单个 DC,也无法通过该 GC DC 对域“MARY”中的用户进行身份验证。“BOB”中的 DC 必须将 MARY\joe 传递给 MARY 域中的 DC 进行实际身份验证。因此,如果您不想通过 WAN 链接返回到 MARY 域中的 DC,则在每个位置都需要 1 个 BOB 域 DC 和 1 个 MARY 域 DC。
但总体而言,WAN 上的用户身份验证流量实际上非常小。如果您的链接没有饱和或容易出现故障,那么您可能可以顺利穿越 WAN。
更多信息:域和林信任的工作原理
Kerberos V5 引荐处理
如果客户端使用 Kerberos V5 进行身份验证,它会从其帐户域中的域控制器向目标域中的服务器请求票证。Kerberos 密钥分发中心 (KDC) 充当客户端和服务器之间的受信任中介;它提供会话密钥,使双方能够相互验证身份。如果目标域与当前域不同,KDC 将遵循逻辑过程来确定是否可以提交身份验证请求:
Is the current domain trusted directly by the domain of the server that is being requested? If yes, send the client a referral to the requested domain. If no, go to the next step. Does a transitive trust relationship exist between the current domain and the next domain on the trust path? If yes, send the client a referral to the next domain on the trust path. If no, send the client a logon-denied message.