Единственный лес с несколькими доменами - аутентификация?
У меня есть единственный лес и 2 домены в нем.
Удаленные сайты имеют соединение пользователей от обоих доменов.
Весь мой контроллер домена является глобальными каталогами, и тресты настраиваются.
У меня должен быть контроллер домена для обоих доменов на каждом удаленном сайте для аутентификации пользователей, или может единственный глобальный сервер каталога, который находится в одном домене, аутентифицируют пользователей в другом домене?
Я стараюсь избегать трафика WAN, если возможный и стараются не иметь несколько контроллеров домена на каждом сайте.
Нужно ли мне иметь контроллер домена для обоих доменов на каждом удаленном сайте для аутентификации пользователей или может ли один сервер глобального каталога, находящийся в одном домене, аутентифицировать пользователей в другом домене?
Контроллер домена в другом домене, будь то GC или нет, не может аутентифицировать пользователей из другого домена, независимо от того, является ли он доверенным или нет.
Так что нет, вы не сможете иметь один DC для домена «BOB» и сможете аутентифицировать пользователей из домена «MARY» через этот DC GC. Контроллер домена в "BOB" должен будет передать MARY \ joe на контроллер домена в домене MARY для фактической аутентификации. Поэтому, если вы не хотите пересекать канал WAN обратно к DC в домене MARY, вам понадобится 1 DC для домена BOB и 1 DC для домена MARY в каждом месте.
Но трафик аутентификации для пользователя через WAN на самом деле довольно мала. Если ваши ссылки не переполнены или не склонны к сбоям, вы, скорее всего, нормально проходите через WAN.
Подробнее: Как работают доверительные отношения между доменами и лесами
Обработка ссылок Kerberos V5
Если клиент использует Kerberos V5 для аутентификации, он запрашивает билет на сервер в целевом домене от контроллера домена в домен своей учетной записи. Центр распространения ключей Kerberos (KDC) действует как доверенный посредник между клиентом и сервером;он обеспечивает ключ сеанса, который позволяет двум сторонам аутентифицировать друг друга. Если целевой домен отличается от текущего домена, KDC следует логическому процессу, чтобы определить, на запрос можно ссылаться:
Является ли текущий домен доверенным непосредственно доменом запрашиваемого сервера? Если да, отправьте клиенту ссылку на запрошенный домен. Если нет, переходите к следующему шагу. Существуют ли транзитивные доверительные отношения между текущим доменом и следующим доменом на пути доверия? Если да, отправьте клиенту ссылку на следующий домен на пути доверия. Если нет, отправьте клиенту сообщение об отказе в входе в систему.