У меня есть 3 домена полного доверия (2 дочерних и один корневой). Мне нужно использовать LDAP, чтобы разрешить аутентификацию для пользователей домена. Хитрость в том, что мне нужно, чтобы приложение использовало сервер AD для дочернего домена. НО прокси для запроса LDAP и аутентификации для корневого домена. Я вижу, что это возможно с AD LDS и некоторыми доверительными отношениями и синхронизацией, но это выглядит довольно непросто и слишком сложно.
Вкратце:
Что ж, эта ссылка может объяснить это: http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx
По сути, подключающийся компьютер (рабочая станция) должен иметь возможность видеть сервер AD DC на всех доменах, к которым он планирует подключиться; но подключенный компьютер (сервер) не должен видеть другой сервер AD DC для компьютеров, которые к нему подключаются.
Таким образом, на практике вам может потребоваться подумать о том, откуда пользователи (или приложения) подключаются, и сделать эти домены с «более высокими привилегиями», чтобы видеть эти серверы DC.
Однако, если вы используете ТОЛЬКО аутентификацию типа NTLM, тогда только контроллеры домена должны видеть друг друга, и аутентификация будет работать нормально. Хотя, насколько мне известно, запросов LDAP должно хватить, если он подключается к серверу глобального каталога.