我有一个森林和一个2域。
远程站点有来自这两个域的用户组合。
我的所有域控制器都是全局编录,并设置了信任关系。
我是否需要为每个远程站点上的两个域都具有域控制器来对用户进行身份validation,或者一个域中的单个全局编录服务器是否可以对另一个域中的用户进行身份validation?
我试图尽可能避免WANstream量,并避免在每个站点有多个域控制器。
我是否需要为每个远程站点上的两个域都具有域控制器来对用户进行身份validation,或者一个域中的单个全局编录服务器是否可以对另一个域中的用户进行身份validation?
另一个域中的DC(无论是否为GC)无法对来自其他域的用户进行身份validation,无论信任与否。
所以不,你将不能有一个单一的域名“BOB”DC,并能够通过该域名“MARY”validation用户通过该GC DC。 “BOB”中的DC将不得不将MARY \ joe传递给MARY域中的DC以进行实际身份validation。 因此,如果您不想在MARY域中遍历广域网链路,则在每个位置需要1个DC用于BOB域,1个DC用于MARY域。
但是,通过广域网的用户身份validationstream量实际上非常小。 如果您的链接不饱和或容易下降,您可能会很好地遍历广域网。
更多信息: 域名和森林信托如何工作
Kerberos V5引用处理
如果客户端使用Kerberos V5进行身份validation,则会向其帐户域中的域控制器请求到目标域中的服务器的票据。 Kerberos密钥分发中心(KDC)充当客户端和服务器之间的可信中介; 它提供了一个会话密钥,使双方能够相互authentication。 如果目标域与当前域不同,KDC将遵循一个逻辑stream程来确定是否可以引用authentication请求:
Is the current domain trusted directly by the domain of the server that is being requested? If yes, send the client a referral to the requested domain. If no, go to the next step. Does a transitive trust relationship exist between the current domain and the next domain on the trust path? If yes, send the client a referral to the next domain on the trust path. If no, send the client a logon-denied message.