Назад | Перейти на главную страницу

Единый лес с несколькими доменами - аутентификация?

У меня один лес и 2 домена в нем.

На удаленных сайтах одновременно находятся пользователи из обоих доменов.

Все мои контроллеры домена являются глобальными каталогами и настроены доверительные отношения.

Нужен ли мне контроллер домена для обоих доменов на каждом удаленном сайте для аутентификации пользователей, или может один сервер глобального каталога, находящийся в одном домене, аутентифицировать пользователей в другом домене?

Я пытаюсь по возможности избегать трафика WAN и избегать наличия нескольких контроллеров домена на каждом сайте.

Нужно ли мне иметь контроллер домена для обоих доменов на каждом удаленном сайте для аутентификации пользователей, или может один сервер глобального каталога, находящийся в одном домене, аутентифицировать пользователей в другом домене?

Контроллер домена в другом домене, будь то GC или нет, не может аутентифицировать пользователей из другого домена, независимо от того, является ли он доверенным или нет.

Так что нет, вы не сможете иметь один DC для домена «BOB» и сможете аутентифицировать пользователей из домена «MARY» через этот DC GC. Контроллер домена в "BOB" должен будет передать MARY \ joe на контроллер домена в домене MARY для фактической аутентификации. Поэтому, если вы не хотите пересекать WAN-ссылку обратно на DC в домене MARY, вам понадобится 1 DC для домена BOB и 1 DC для домена MARY в каждом месте.

Но трафик аутентификации для пользователя через WAN на самом деле в целом довольно мизерный. Если ваши ссылки не переполнены или не склонны к сбоям, вы, скорее всего, хорошо проходите через WAN.

Больше информации: Как работают доверительные отношения между доменами и лесами

Обработка переадресации Kerberos V5

Если клиент использует Kerberos V5 для проверки подлинности, он запрашивает билет на сервер в целевом домене у контроллера домена в домене своей учетной записи. Центр распространения ключей Kerberos (KDC) действует как доверенный посредник между клиентом и сервером; он предоставляет сеансовый ключ, который позволяет двум сторонам аутентифицировать друг друга. Если целевой домен отличается от текущего домена, KDC следует логическому процессу, чтобы определить, может ли быть передан запрос аутентификации:

Is the current domain trusted directly by the domain of the server that is being requested?

    If yes, send the client a referral to the requested domain.

    If no, go to the next step.

Does a transitive trust relationship exist between the current domain and the next domain on the trust path?

    If yes, send the client a referral to the next domain on the trust path.

    If no, send the client a logon-denied message.