具有单向信任的跨林LDAP查询

Question

我有两个活跃目录林:森林A信任森林B(单向信任)。林A上的客户端不能与森林B上的域控制器进行目录对话，因为它们之间存在防火墙。森林中的域控制器A和B能够相互交谈(假设所有可能的端口)。

我希望林A中的客户端能够通过森林A域控制器在森林B上执行跨林LDAP查询。通过使用crossRef，看起来客户端需要直接访问LDAP端口到目录B域控制器，还有其他方法可以实现吗？我可以通过林A域控制器调用吗？

Answer 1

通过森林A域控制器对森林B进行

LDAP查询

这不是它的工作方式。即使存在双向信任，森林B中的任何查询也会发生在森林B域控制器(或Global通常与DC相同)上。

因此，无论如何进行身份验证，都需要打开到LDAP端口之一的网络路径：

• 389 -默认LDAP端口
• 636- LDAP over (LDAP)
• 3268-全局目录，它返回林中所有域的结果。只有当林中有多个域时才有用。
• 3269- GC在SSL

上。

如果不指定任何端口，则使用389。对于其他任何一个，您都需要指定一个端口。

“信任”仅仅意味着您可以使用来自一个域的凭据对另一个域进行身份验证。因此，在您的情况下，由于森林A信任森林B，那么您可以使用森林B的凭据在与森林A连接的计算机上进行身份验证。

因为林B不信任林A，所以在执行搜索时需要使用森林B上的帐户进行身份验证。