具有单向信任的跨林 LDAP 查询
Cross forest LDAP query with one way trust
我有两个 Active Directory 林:
林 A 信任林 B(单向信任)。
林 A 上的客户端无法与林 B 上的域控制器交谈目录,因为它们之间有防火墙。
林 A 和 B 中的域控制器能够相互通信(假设在所有可能的端口上)。
我希望林 A 中的客户端能够通过林 A 域控制器对林 B 执行跨林 LDAP 查询。通过使用 crossRef,客户端似乎需要直接访问林 B 域控制器的 LDAP 端口,是否有另一种方法可以实现此目的?我可以改为通过林 A 域控制器进行调用吗?
LDAP query on forest B, through forest A Domain Controller
这不是它的工作方式。即使存在双向信任,林 B 中的任何查询都会在林 B 域控制器(或全局目录 - 通常与 DC 相同)上发生。
因此,无论您如何进行身份验证,您都需要一个对 LDAP 端口之一开放的网络路径:
- 389 - 默认 LDAP 端口
- 636 - SSL 上的 LDAP (LDAPS)
- 3268 - 全局目录,returns 林中所有域的结果。仅当林中有多个域时才有用。
- 3269 - 通过 SSL 的 GC
如果您不指定任何端口,则使用 389。对于其他任何一个,您需要指定一个端口。
"trust" 只是意味着您可以使用来自一个域的凭据对另一个域进行身份验证。因此,在您的情况下,由于林 A 信任林 B,因此您可以使用林 B 的凭据在加入林 A 的计算机上进行身份验证。
由于林 B 不信任林 A,您在执行搜索时需要使用林 B 上的帐户进行身份验证。
我有两个 Active Directory 林: 林 A 信任林 B(单向信任)。 林 A 上的客户端无法与林 B 上的域控制器交谈目录,因为它们之间有防火墙。 林 A 和 B 中的域控制器能够相互通信(假设在所有可能的端口上)。
我希望林 A 中的客户端能够通过林 A 域控制器对林 B 执行跨林 LDAP 查询。通过使用 crossRef,客户端似乎需要直接访问林 B 域控制器的 LDAP 端口,是否有另一种方法可以实现此目的?我可以改为通过林 A 域控制器进行调用吗?
LDAP query on forest B, through forest A Domain Controller
这不是它的工作方式。即使存在双向信任,林 B 中的任何查询都会在林 B 域控制器(或全局目录 - 通常与 DC 相同)上发生。
因此,无论您如何进行身份验证,您都需要一个对 LDAP 端口之一开放的网络路径:
- 389 - 默认 LDAP 端口
- 636 - SSL 上的 LDAP (LDAPS)
- 3268 - 全局目录,returns 林中所有域的结果。仅当林中有多个域时才有用。
- 3269 - 通过 SSL 的 GC
如果您不指定任何端口,则使用 389。对于其他任何一个,您需要指定一个端口。
"trust" 只是意味着您可以使用来自一个域的凭据对另一个域进行身份验证。因此,在您的情况下,由于林 A 信任林 B,因此您可以使用林 B 的凭据在加入林 A 的计算机上进行身份验证。
由于林 B 不信任林 A,您在执行搜索时需要使用林 B 上的帐户进行身份验证。