Active-Directory

域控制器為其自己的域返回 LDAP 引用

  • March 5, 2014

我有 2 個域,每個域都有 2 個域控制器:

  • 公司.本地
  • ad.company.com.au

兩個域都在同一個林中,並且具有雙向信任設置。我們正在遷移到ad.company.com.au目前,但是需要查詢 LDAP 的系統存在一些問題。

在對任一域控制器進行 LDAP 搜尋時,ad.company.com.au我們會得到一個不受company.com.auAD 控制的引用:

$ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <DC=company,DC=com,DC=au> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# with manageDSAit control
#

# search result
search: 2
result: 10 Referral
text: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points
   ref 1: 'company.
com.au'

ref: ldap://company.com.au/DC=company,DC=com,DC=au

# numResponses: 1

請注意company.com.auAD 不控制的引用點 - 域是ad.company.com.au並且它由company.com.au名稱伺服器委派給 2 個 DC。

在同一台伺服器上查詢全域目錄可以得到我們期望的結果。

那麼為什麼域的域控制器不知道其 LDAP 中的域,而 GC 卻知道呢?

因為您將 company.com.au 指定為搜尋庫。如果您想在沒有獲得推薦的情況下查詢您的域本地分區,請使用 ad.company.com.au 作為您的搜尋庫。

引用自:https://serverfault.com/questions/579881