我正在研究 Active Directory 用户帐户身份验证。情况是这样的。我在数据中心 1 有一个 Forest DC,在某个站点有一个基础设施子 DC。
我希望基础设施服务器的管理用户帐户从 Forest DC 进行身份验证,并且站点上的其他用户帐户从站点上的基础设施子 DC 进行身份验证。
我的问题是,这是一个好方法吗,或者最好让所有帐户在 Forest DC 进行身份验证。
我的方法的优点是,如果 WAN 发生故障,基础设施子 DC 将能够对本地用户帐户进行身份验证。如果所有帐户都在 Forest DC 上进行身份验证,而 WAN 发生故障,则根本无法对帐户进行身份验证,除非我在站点上有 Forest DC 的 AD 复制?
或者一旦基础设施子 DC 加入林,它们就会自动进行 AD 复制?
有人可以详细说明这种方法吗?
谢谢
答案1
用户向其所属域中的域控制器进行身份验证。
域分区不会复制到林中的其他域。标记为全局编录复制的属性将复制到林中的所有全局编录服务器,但域分区中的用户和计算机帐户不会复制到林中的其他域。