Active-Directory
域控制器為其自己的域返回 LDAP 引用
我有 2 個域,每個域都有 2 個域控制器:
- 公司.本地
- ad.company.com.au
兩個域都在同一個林中,並且具有雙向信任設置。我們正在遷移到
ad.company.com.au
目前,但是需要查詢 LDAP 的系統存在一些問題。在對任一域控制器進行 LDAP 搜尋時,
ad.company.com.au
我們會得到一個不受company.com.au
AD 控制的引用:$ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <DC=company,DC=com,DC=au> with scope subtree # filter: (objectclass=*) # requesting: ALL # with manageDSAit control # # search result search: 2 result: 10 Referral text: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points ref 1: 'company. com.au' ref: ldap://company.com.au/DC=company,DC=com,DC=au # numResponses: 1
請注意
company.com.au
AD 不控制的引用點 - 域是ad.company.com.au
並且它由company.com.au
名稱伺服器委派給 2 個 DC。在同一台伺服器上查詢全域目錄可以得到我們期望的結果。
那麼為什麼域的域控制器不知道其 LDAP 中的域,而 GC 卻知道呢?
因為您將 company.com.au 指定為搜尋庫。如果您想在沒有獲得推薦的情況下查詢您的域本地分區,請使用 ad.company.com.au 作為您的搜尋庫。