Ich habe 2 Domänen mit jeweils 2 Domänencontrollern:
- company.local
- ad.company.com.au
Beide Domänen befinden sich in derselben Gesamtstruktur und verfügen über eine bidirektionale Vertrauensstellung. Wir migrieren ad.company.com.auderzeit zu, haben jedoch einige Probleme mit Systemen, die LDAP abfragen müssen.
Wenn wir eine LDAP-Suche für einen der Domänencontroller in durchführen, erhalten ad.company.com.auwir einen Verweis, auf company.com.auden NICHT AD-Kontrolle steht:
$ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <DC=company,DC=com,DC=au> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# with manageDSAit control
#
# search result
search: 2
result: 10 Referral
text: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points
ref 1: 'company.
com.au'
ref: ldap://company.com.au/DC=company,DC=com,DC=au
# numResponses: 1
Beachten Sie die Verweispunkte, an company.com.audie AD NICHT steuert - die Domäne ist ad.company.com.auund wird von den company.com.auNameservern an die 2 Domänencontroller delegiert .
Wenn Sie den globalen Katalog auf demselben Server abfragen, erhalten Sie die erwarteten Ergebnisse.
Warum sollte der Domänencontroller für eine Domäne nicht über die Domäne in ihrem LDAP Bescheid wissen, während der GC dies weiß?