Active Directory：兩個域之間基於 SSL 的 LDAP

可能是一個愚蠢的問題，但我不想冒險搞砸一個工作系統。

我們有兩個獨立的 Active Directory，比如說“example.local”和“example.com”。兩者之間存在信任，因此這些域實際上是相連的。

我們將在幾天內設置一個新軟體，它需要到兩個域的安全 LDAP 連接（LDAP over SSL）。目前沒有可用的 CA。

根據微軟的說法，我們必須設置一個 CA，創建一個新的伺服器身份驗證證書並將該證書分發給所有 DC。

我想知道我是否也必須將相同的證書分發給其他域的 DC？還是我必須設置兩個單獨的 CA（每個域一個）並將每個證書分配給它們相應的 DC？我有點糊塗，先見諒！

感謝@GregAskew，我能夠找到微軟官方指南。

資料來源：https ://social.technet.microsoft.com/Forums/windowsserver/en-US/2e56e765-566c-401b-8d1e-ee034ad8316a/does-certificate-work-in-cross-domain-environment?forum=winserversecurity

基本上整個過程可以分為四個步驟：

1. 在資源林（部署 ADCS 的林）和帳戶林之間創建雙向信任。
2. 在資源林中配置 CA 以支持跨林註冊。
3. 複製證書模板。
4. 將 PKI 對象複製到帳戶林。

引用自：https://serverfault.com/questions/899107