如果我在说域 example1.com 上并想使用 LDAP 的 LDAP 连接字符串查询 example2.com 的 AD 目录中的用户://DC=example2, DC=com 连接是如何建立的?
是从客户端应用程序到 example1.com 的 DC 的 LDAP 连接,然后是两个域之间的 DC 到 DC 连接以代理查询,或者是直接从客户端应用程序建立的 LDAP 连接到 example2.com 中的 DC?
我在 C# 中使用 DirectorySearcher 组件时遇到了一些连接问题,我怀疑它可能试图直接连接到目标域的 DC,而不是其本地 DC。
我希望这是有道理的。
【问题讨论】:
标签: active-directory ldap
这里有两个场景,你可以找到你的解决方案
理论上,如果域在同一个林中,您应该从全局目录中获取用户专有名称 (DN)。 GC 具有林中所有域的部分(只读)副本。理论上,您将指定 GC: 提供程序而不是 LDAP: 提供程序,并让系统选择最佳 GC。您不必指定 DC。获得 DN 后,如果域是受信任的,您应该能够绑定到对象并对其进行修改(如果您有权限)。
也可以用Get-ADUser _-Server DOMAINCONTROLLER -credential $NULL_ -filter {samaccountname -eq $SourceAccount} | Set-ADUser -Enabled $True完成
-server 属性指向域控制器,-credential $NULL 将提示输入另一个域中的域管理员 ID 以供使用。
关于跨林/跨域目录查询/访问场景。
您可能需要确保两个域(您的当前域和查询数据的目标域)具有双向信任关系。以下是一些讨论类似主题的网络文章和主题:
#Cross Forest LDAP 查询和子域。
http://social.technet.microsoft.com/Forums/windowsserver/en-US/6257f7d1-5a07-4652-af0c-4550ddffe1c3/cross-forest-ldap-query-and-sub-domains
#在 C# .NET 中使用 LDAP 跨多个域查询组和用户
http://jokecamp.wordpress.com/2012/03/26/querying-groups-and-users-across-multiple-domains-with-ldap-in-c-net/
跨林/跨域查询的一个常见错误是未在查询的搜索库中正确指定完整的域名。
示例:两个域 domain1.com、domain2.com。常见的错误是 通过指定“DC=COM”作为搜索来查询用户的 domain1.com 以 LDAP 查询为基础....认为查询将简单地查找 domain1 和 domain2 都不是这样。这是个错误 因为 DC=COM 实际上并不存在于分区上,只有 DC=domain1,DC=com 和 DC=domain2,DC=com 存在。事情要 请记住,即使您正在查询来自另一个域的用户 (不在您将查询定向到的 DC 上),您必须指定 全域作为搜索库,就像没有它一样 跨林/域。是什么使它成为跨林/域查询是 你不会纠正 DC 的事实。
【讨论】: