У мене є 2 домени, у кожному з яких 2 контролери домену:
- company.local
- ad.company.com.au
Обидва домени знаходяться в одному лісі і мають налаштування довіри у двох напрямках. Ми переходимо ad.company.com.auна даний момент, однак маємо деякі проблеми із системами, які потребують запиту на LDAP.
Роблячи пошук LDAP на будь-якому контролері домену, ad.company.com.auми отримуємо реферальне повідомлення, company.com.auяке НЕ знаходиться під контролем AD:
$ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <DC=company,DC=com,DC=au> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# with manageDSAit control
#
# search result
search: 2
result: 10 Referral
text: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points
ref 1: 'company.
com.au'
ref: ldap://company.com.au/DC=company,DC=com,DC=au
# numResponses: 1
Зверніть увагу на пункти рефералу, на company.com.auякі AD НЕ контролює - домен є, ad.company.com.auі його делегують company.com.auсервери імен на 2 DC.
Запит на глобальний каталог на тому ж сервері дає нам очікувані результати.
То чому б контролер домену не знав про домен у його LDAP, тоді як GC це знає?