我有一个 Active Directory 域ad.example.com,并且配置了一个 UPN 别名example.com
当用户尝试以[email protected]何种身份登录时,它知道该域名的实际名称ad.example.com?
我不需要父区域中的 SRV 记录或某些内容来提示 AD 吗?
答案1
根据我在其他地方读到的内容:
作为域成员,Windows 不会尝试弄清楚你处于哪个域中 - 它始终与 KDC 进行通信以获取其默认域(它加入的域),初始 Kerberos AS-REQ 将整个 UPN 作为企业名称,让 KDC 来做这项工作。
因此,AS-REQ 中的 Kerberos 主体看起来像,并且您的 KDC 的工作就是找出该用户的实际位置(我假设通过在森林的全局目录中搜索具有匹配属性的用户)。user\@[email protected]userPrincipalName
但是,作为连接到 AD 成员服务器的独立(工作组)客户端,Windows 还没有“默认领域”——在这种情况下,它确实会_msdcs在 UPN 后缀处查询特定于 AD 的 SRV 记录。
答案2
帐户的 UPN 在林内是唯一的,并被复制到林中的所有 DC。当进行身份验证的 DC 找到帐户时,它就会找到域。