域控制器为它自己的域返回LDAP引用

Question

我有两个域，每个域都有两个域控制器：

• company.local
• ad.company.com.au

两个域都位于同一林中，并且具有双向信任设置。我们目前正在迁移到ad.company.com.au，但是在需要查询LDAP的系统上存在一些问题。

在对ad.company.com.au中的任何一个域控制器执行LDAP搜索时，我们将得到对不受AD控制的company.com.au的引用：

$ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <DC=company,DC=com,DC=au> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# with manageDSAit control
#

# search result
search: 2
result: 10 Referral
text: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points
    ref 1: 'company.
 com.au'

ref: ldap://company.com.au/DC=company,DC=com,DC=au

# numResponses: 1

注意，引用指向AD不控制的company.com.au --域是ad.company.com.au，由company.com.au名称服务器委托给2 DC。

在同一服务器上查询全局目录将提供我们期望的结果。

那么，为什么某个域的域控制器不知道它的LDAP中的域，而GC知道呢？

Answer 1

因为您指定company.com.au作为搜索基。如果您想查询域本地分区而不需要引用，请使用ad.company.com.au作为搜索基础。