Active Directory: LDAP через SSL между двумя доменами
Это может быть глупый вопрос, но я не хочу рисковать испортить работающую систему.
У нас есть два отдельных Active Directory, скажем "example.local" и "example.com". Между ними существует доверие, поэтому эти домены фактически связаны.
Мы настроим новое программное обеспечение в течение нескольких дней, и для него потребуется безопасное соединение LDAP с обоими доменами (LDAP через SSL). В настоящее время ЦС недоступен.
Согласно Microsoft , мы должны настроить центр сертификации, создать новый сертификат аутентификации сервера и распространить его среди всех контроллеров домена.
Мне интересно, должен ли я распространять тот же самый сертификат. к контроллерам домена другого домена тоже? Или мне нужно настроить два отдельных центра сертификации (по одному для каждого домена) и распространить каждый сертификат только на соответствующие контроллеры домена? Я немного запутался, заранее извините!
Благодаря @GregAskew мне удалось найти официальное руководство Microsoft .
В основном всю процедуру можно разделить на четыре этапа:
- Создайте двустороннее доверие между лесом ресурсов (лесом, в котором развернут ADCS) и лесом учетных записей.
- Настройте ЦС в лесу ресурсов для поддержки регистрации между лесами.
- Скопируйте шаблоны сертификатов.
- Копировать Объекты PKI для учетной записи леса.