none
AD林之间建立信任后,用户验证与计算机账户验证的差别 RRS feed

  • 问题

  • 场景:

    A公司美国总部具有AD林根域AUS.COM,A公司中国分部使用ACN.COM树域,并与AUS.COM根域在同一个目录林,且美国总部与中国分部网络互通;

    英国伙伴B公司具有BUK.COM林域,且与AUS.COM做了林信任;

    以上3个域的本地DNS都可以相互解析对方域DNS记录;

    情况一:

    当前BUK.COM的子网可以联系到AUS.COM的DC(子网互通),但是无法联系ACN.COM的DC(子网不通),现在发现user@acn.com可以登录BUK.COM的成员服务器,说明用户账户验证可以由根域传递,这个是否正确?

    情况二:

    将ACN.COM的成员PC.ACN.COM带到BUK.COM的子网,获取的IP无法联系ACN.COM的DC(网络不通),但是获取的DNS可以解析ACN.COM的DNS记录,此时用user@acn.com登录PC.ACN.COM就会提示无法联系DC,那么如果情况一正确,说明计算机账户在验证的过程中必须直接联系本域DC,林根域是无法传递计算机账户验证的,这个结论是否正确?

    这2个问题一直比较迷惑,还望大师不吝赐教啊


    木有签名

    2017年7月17日 11:38

全部回复

  • 你好,

    据我所知,用户和电脑账号都是需要本域的域控制器来验证的。

    情况二中是把电脑带到了 forest BUK.com吗?

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年7月18日 10:25
    版主
  • 你好 Amy,

    我也认为是需要本域控来验证的,但是情况一确实很奇怪,我用新建账户测试也是这个结果,只是验证登录过程比直接从本域慢几秒,可以排除缓存影响,所以判断根域控是不是可以传递验证的;

    情况二是把电脑带到Forest BUK.COM了.


    木有签名

    2017年7月20日 9:27