У меня есть два контроллера домена, настроенных с несмежными пространствами имен. Между доменами установлено двустороннее доверие леса и объекты crossRef. Я могу успешно выполнить поиск LDAP для любого конкретного объекта в любом домене. Однако я хотел бы иметь возможность выполнять единый поиск LDAP для всех объектов User в обоих каталогах, указывающих на одно baseDN.
Это возможно?
Я не думаю, что какие-либо клиентские инструменты LDAP будут автоматически выполнять один и тот же запрос на двух серверах (если только первый сервер не возвращает ссылку на второй).
Вы можете настроить прокси LDAP, используя OpenLDAP с meta backend, который действует как прокси для интеграции нескольких контекстов именования с нескольких разных серверов в одно дерево. Я успешно использовал его для этого на нескольких доменах Windows 2003. Добавить rewrite наложения, и вы можете представить оба домена в одном дереве LDAP.
Например, если у вас есть несколько доменов AD с именем COMPANYONE.COM и COMPANYTWO.NET, вы получите следующее дерево LDAP:
- o = все компании
- dc = companyone, dc = com, o = все компании
- Объекты из домена
COMPANYONE- dc = companytwo, dc = net, o = все компании
- Объекты из домена
COMPANYTWO
Таким образом, вы можете основывать поиск на базовом DN. o=all-companies, который вернет записи с обоих серверов.
Проверять, выписываться Справочная страница Back-Meta OpenLDAP.
На мой взгляд, настройка OpenLDAP, вероятно, потребует больше усилий, чем вы хотите, для удобства выполнения одного запроса LDAP.
Я бы создал сценарий VBScript / PowerShell, чтобы принять предоставленный запрос, выполнить его в обоих доменах и вернуть вам результаты.
Это был бы довольно простой сценарий для написания. Если сегодня вечером у меня будет время, а вы не найдете подходящего решения (и вам интересно), я постараюсь приготовить его.