Domain

具有多個域的單個林 - 身份驗證?

  • February 5, 2015

我有一個森林和一個 2 個域。

遠端站點混合了來自兩個域的使用者。

我所有的域控制器都是全域編錄並設置了信任。

我是否需要在每個遠端站點上的兩個域都有域控制器來驗證使用者身份,或者一個域中的單個全域編錄伺服器可以驗證另一個域中的使用者?

如果可能,我會盡量避免 WAN 流量,並避免在每個站點上擁有多個域控制器。

我是否需要在每個遠端站點上的兩個域都有域控制器來驗證使用者身份,或者一個域中的單個全域編錄伺服器可以驗證另一個域中的使用者?

另一個域中的 DC,無論是否為 GC,都無法對來自另一個域的使用者進行身份驗證,無論是否受信任。

所以不,您將無法為域“BOB”擁有單個 DC,並且無法通過該 GC DC 對域“MARY”中的使用者進行身份驗證。“BOB”中的 DC 必須將 MARY\joe 傳遞給 MARY 域中的 DC 以進行實際身份驗證。因此,如果您不想將 WAN 連結遍歷回 MARY 域中的 DC,則每個位置都需要 1 個用於 BOB 域的 DC 和 1 個用於 MARY 域的 DC。

但是,跨 WAN 的使用者的身份驗證流量實際上總體上非常微不足道。如果您的連結沒有飽和或容易出現故障,您很可能可以很好地遍歷 WAN。

更多資訊:域和林信任如何工作

Kerberos V5 引用處理

如果客戶端使用 Kerberos V5 進行身份驗證,它會從其帳戶域中的域控制器向目標域中的伺服器請求票證。Kerberos 密鑰分發中心 (KDC) 充當客戶端和伺服器之間的可信中介;它提供了一個會話密鑰,使雙方能夠相互驗證。如果目標域與目前域不同,KDC按照邏輯流程判斷是否可以引用認證請求:

Is the current domain trusted directly by the domain of the server that is being requested?

    If yes, send the client a referral to the requested domain.

    If no, go to the next step.

Does a transitive trust relationship exist between the current domain and the next domain on the trust path?

    If yes, send the client a referral to the next domain on the trust path.

    If no, send the client a logon-denied message.

引用自:https://serverfault.com/questions/665257