UPN别名的DNS记录？

Question

我有一个活动目录域ad.example.com，我配置了一个UPN别名example.com。

当用户试图以user@example.com身份登录时，它如何知道域实际上是ad.example.com？

我不需要SRV记录或父区域中的什么东西来提示AD吗？

Answer 1

从我在其他地方读到的：

作为域成员，Windows并不试图找出您所处的领域--它总是与KDC就其默认领域(与其连接的域)进行对话，并且初始的Kerberos AS-REQ将整个UPN作为企业名称发送，从而允许KDC执行该任务。

因此，AS-REQ中的Kerberos主体看起来像user\@example.com@AD.EXAMPLE.COM，并且您的KDC的工作就是找出该用户的实际位置(我假设通过搜索森林的全局目录寻找具有匹配userPrincipalName属性的用户)。

但是，作为连接到AD成员服务器的独立(工作组)客户端，Windows还没有一个“默认领域”--在这种情况下，它确实会在UPN后缀上查询特定于AD的_msdcs SRV记录。

Answer 2

帐户的UPN在林中是唯一的，并且被复制到森林中的所有DC。当身份验证DC定位帐户时，它将定位域。