我有3个完整的信任域(2个孩子和一个根)。 我需要使用LDAP来允许域用户进行身份validation。 诀窍是,我需要应用程序使用AD服务器的子域BUT代理根域的LDAP查询和身份validation。 我发现它可能与AD LDS和一些信任和同步,但它看起来很毛茸茸,过于复杂。
它的缺点是:
那么这个链接可以解释它: http : //blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx
基本上,连接计算机(工作站)需要能够在计划连接的所有域上看到AD DC服务器; 但连接的计算机(服务器)不需要能够看到连接到它的计算机的其他AD DC服务器。
因此,在实践中,可能需要您考虑用户(或应用程序)从哪里连接,并使这些域以“更高的权限”来查看这些DC服务器。
但是,如果您只使用NTLMtypesauthentication,那么只有DC需要互相看到,authentication才能正常工作。 尽pipe据我所知,如果连接到全局编录服务器,LDAP查询就足够了。