当工作站或服务器尝试对另一个域上的用户进行身份validation时,工作站或服务器在联系本地域DC后是否直接与其他域的DC进行身份validation? 还是本地域DC代表工作站执行身份validation请求?
例:
我目前有两个域名。
Domain hosted.contoso.com和office.contoso.com 。
所有用户都在office.contoso.com域中创build,因此用户[email protected]想要login到机器host1.hosted.contoso.com 。 host1.hosted.contoso.com是否需要直接查看domain-control.office.contoso.com ?
用户Smith在域名office.contoso.com上进行身份validation。 此域名与hosted.contoso.com信任,并向用户Smith提供host1.hosted.contoso.com的故障单。
换句话说:用户在自己的域中进行身份validation(另一个域不能确定)。 因此,当用户连接到外部域时,DC会为其他域(如果受信任的域)创build有效的票证。 所以在你的例子中,host1不需要看到dc.office,但是dc.office需要连接到dc.hosted。
也可以看一下http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx