Domain-Name-System
UPN別名的DNS記錄?
我有一個活動目錄域
ad.example.com
並且我配置了一個 UPN 別名example.com
當使用者嘗試登錄時,
user@example.com
它如何知道域實際上是ad.example.com
?我不需要父區域中的 SRV 記錄或其他東西來提示 AD 嗎?
從我在別處讀到的:
作為域成員,Windows 不會嘗試找出您所在的領域 - 它總是與 KDC 對話以獲取其預設領域(它加入的領域),並且初始 Kerberos AS-REQ 發送整個 UPN作為企業名稱,允許 KDC 代替執行該工作。
因此,AS-REQ 中的 Kerberos 主體看起來像
user\@example.com@AD.EXAMPLE.COM
,並且您的 KDC 的工作就是確定該使用者的實際位置(我假設通過在森林的全域目錄中搜尋具有匹配userPrincipalName
屬性的使用者)。但是,作為連接到 AD 成員伺服器的獨立(工作組)客戶端,Windows 還沒有“預設領域”——在這種情況下,它確實會
_msdcs
在 UPN 後綴處查詢特定於 AD 的 SRV 記錄。