2 домена - 1 ADFS - 1 SharePoint - 1 способ аутентификации

Мне интересно, если это возможно:

У меня 1 домен AD: InternalDomain. Я хочу создать дополнительный домен: CustomersDomain. Я бы хотел мой SharePoint чтобы иметь возможность аутентифицировать пользователей как из InternalDomain, так и из CustomersDomain.

Сотрудники из внутри будет подключаться напрямую к SharePoint с InternalDomain. (Думаю, дело в DNS)
Клиенты или сотрудники из вне будет подключаться через WAP и сервер ADFS с обоими [Внутренний|Клиенты]Домен (Публичный IP и DNS)

Но подходит ли это для того, чтобы:

Управление учетной записью AD клиентов
Управление аутентификацией клиентов в SharePoint
Управление аутентификацией сотрудников извне

Таким образом, мой клиентский AD будет хранить только учетные данные для входа в SharePoint для клиентов, больше никаких прав. И мои внутренние пользователи AD (или некоторые из них) смогут создать новую учетную запись клиента. Но также некоторые клиенты смогут создать новую учетную запись или, по крайней мере, попросить.

Спросите, если я недостаточно понимаю. Идея проста: лучший способ управлять учетной записью AD сотрудника (без изменений на сервере AD), обрабатывать учетные записи клиентов, обрабатывать аутентификацию - все это с помощью SharePoint.

Возможно, один из способов сделать это:

1) Создайте одностороннее доверие от вашего CustomersDomain к вашему InternalDomain.

2) Установите свою ферму SharePoint в CustomersDomain. Поскольку между доменами существует доверие, внутренние пользователи также смогут подключиться к нему.

3) Настройте DNS, брандмауэры, обратные прокси-серверы и т. Д. Для маршрутизации трафика на вашу ферму в зависимости от того, откуда они приходят.

Обратите внимание, что в этой настройке вам не нужен ADFS.

Если у вас нет доверительных отношений между вашими доменами, вам понадобятся 2 фермы ADFS (по одной на домен), создайте доверительные отношения между ними и, возможно, сделайте некоторую настройку для маршрутизации пользователей на правильный сервер в зависимости от их местоположения. Все сложнее.

Есть схема от Microsoft под названием «Топологии экстрасети для продуктов SharePoint 2010», вы можете посмотреть на нее, чтобы найти больше идей (доступно здесь на technet, это 3-й).

У меня такой же сценарий, но я не могу построить доверительные отношения между двумя доменами, потому что оба домена имеют похожие имена NetBIOS, и обычно доверие не создается, если имена NeTBIOS или SID обоих контроллеров домена совпадают. не могли бы вы посоветовать, как я могу включить sharepoint для обработки разрешений для пользователей обоих доменов.