Domain-Name-System

UPN別名的DNS記錄?

  • February 6, 2022

我有一個活動目錄域ad.example.com並且我配置了一個 UPN 別名example.com

當使用者嘗試登錄時,user@example.com它如何知道域實際上是ad.example.com

我不需要父區域中的 SRV 記錄或其他東西來提示 AD 嗎?

從我在別處讀到的:

作為域成員,Windows 不會嘗試找出您所在的領域 - 它總是與 KDC 對話以獲取其預設領域(它加入的領域),並且初始 Kerberos AS-REQ 發送整個 UPN作為企業名稱,允許 KDC 代替執行該工作。

因此,AS-REQ 中的 Kerberos 主體看起來像user\@example.com@AD.EXAMPLE.COM,並且您的 KDC 的工作就是確定該使用者的實際位置(我假設通過在森林的全域目錄中搜尋具有匹配userPrincipalName屬性的使用者)。

但是,作為連接到 AD 成員伺服器的獨立(工作組)客戶端,Windows 還沒有“預設領域”——在這種情況下,它確實會_msdcs在 UPN 後綴處查詢特定於 AD 的 SRV 記錄。

引用自:https://serverfault.com/questions/1092824