多个AD域的LDAP身份validation

我有3个完整的信任域(2个孩子和一个根)。 我需要使用LDAP来允许域用户进行身份validation。 诀窍是,我需要应用程序使用AD服务器的子域BUT代理根域的LDAP查询和身份validation。 我发现它可能与AD LDS和一些信任和同步,但它看起来很毛茸茸,过于复杂。

它的缺点是:

  1. 3个域(Parent,ChildA,ChildB)
  2. 我的第三方应用程序将需要使用ChildA域名服务器来validation:a。 父域中的用户或b。 ChildB域中的用户
  3. 我已经在所有域之间有完全的信任,并且常规NTLM身份validation正常工作(除非您尝试使用LDAP进行身份validation)

那么这个链接可以解释它: http : //blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx

基本上,连接计算机(工作站)需要能够在计划连接的所有域上看到AD DC服务器; 但连接的计算机(服务器)不需要能够看到连接到它的计算机的其他AD DC服务器。

因此,在实践中,可能需要您考虑用户(或应用程序)从哪里连接,并使这些域以“更高的权限”来查看这些DC服务器。

但是,如果您只使用NTLMtypesauthentication,那么只有DC需要互相看到,authentication才能正常工作。 尽pipe据我所知,如果连接到全局编录服务器,LDAP查询就足够了。