我们有一个多站点域,其中多个站点采用中心辐射式设计。从中心站点,我们通过 VPN 隧道建立了与另一个域的单向信任。
现在,当来自外部域的某人尝试进行身份验证时,我们的域控制器将返回对另一个域的引用。但是,隧道仅对中心站点中的域控制器开放。
在这种情况下,我们能以某种方式使用代理吗?我一直在阅读有关 AD LDS 的内容,它出现在有关该主题的搜索中,但我不清楚它如何/是否会工作。似乎 OpenLDAP 也有一些代理功能,但除非这是唯一的选择,否则我宁愿不引入它。还有其他选择吗?
答案1
不,您必须在防火墙中允许引用。ADLDS 和 openLDAP 都不会对用户进行身份验证。最简单的解决方案是将来自其他域的 DC 放在中心站点中。