多AD域的LDAP认证

Question

我有3个完全信任域(2个子域和一个根)。我需要使用LDAP来允许域用户的授权。诀窍是，我需要应用程序为子域使用AD服务器，但需要为根域代理LDAP查询和身份验证。我看到，通过and和一些信任和同步，它是可能的，但它看起来相当多毛和过于复杂。

其不足是：

1. 3个域(父域、ChildA域、ChildB域)
2. 我的第三方应用程序需要使用ChildA域服务器进行身份验证: a.父域中的用户或b. ChildB域中的用户
3. 我已经在所有域之间拥有完全信任，并且正常的NTLM身份验证工作正常(除非您试图使用LDAP进行身份验证)。

Answer 1

好吧，这个链接可以解释它：http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx

基本上，连接计算机(工作站)需要能够在它计划连接到的所有域上看到AD DC服务器；但是所连接的计算机(服务器)不需要能够看到连接到它的计算机的其他AD DC服务器。

因此，在实践中，它可能要求您考虑用户(或应用程序)从何处连接，并使这些域具有“更高的权限”来查看这些DC服务器。

但是，如果您只使用NTLM类型身份验证，那么只有DC需要相互查看，身份验证才能正常工作。虽然据我所知，LDAP查询如果连接到全局目录服务器就足够了。