PCDVD數位科技討論區
PCDVD數位科技討論區   註冊 常見問題 標記討論區為已讀

回到   PCDVD數位科技討論區 > 其他群組 > 疑難雜症區
帳戶
密碼
 

回應
 
主題工具
cmwang
Elite Member
 

加入日期: May 2002
您的住址: 板橋
文章: 5,100
不同domain controller設成同AD domain....

鵝有user要透過AD做SSO,不同AD domain的話只要建好forest trust是沒問題的,但最近他們提出一個怪異的須求,就是有兩台不同的DC各自管理不同的client(假設是DC A和DC B好了),只是這兩台DC的AD domain是設成一樣的(但user database是各自獨立的,平常user也不會跨DC login,只是都會用到已經在DC A上註冊的Web A ),user是說DC A和DC B已經建好forest trust了,但DC B的user無法透過SSO login Web A,鵝對Microsoft的AD其實也不熟,請問一下這種狀況下DC A和DC B可以建forest trust嗎(以鵝的認知,應該是設成某個AD有multi DC,由系統將相同的內容replicate到所有DC上吧 ),還是說就別管DC A和DC B間啥信任關係了,而是直接在DC B上產生Web A的SPN,再import到Web A上,DC B的user要連上Web A時是憑DC B簽發的Kerberos ticket,與DC A無關才是對的,有朋友可以指點一下嗎....
     
      
__________________
士大夫之無恥,是謂國恥....
舊 2017-08-20, 07:57 AM #1
回應時引用此文章
cmwang離線中  
cmwang
Elite Member
 

加入日期: May 2002
您的住址: 板橋
文章: 5,100
鵝不等user確認其config,自己兜完LAB了,是由DC A和DC B分別產生keytab給Web A import,讓Web A同時在DC A和DC B上都有SPN,user憑各自的DC所簽發的ticket就可以SSO了....
 
上傳的圖像
文件類型: png keytab.PNG (80.0 KB, 49次瀏覽)
文件類型: png ad1.PNG (129.5 KB, 0次瀏覽)
文件類型: png ad2.PNG (126.7 KB, 0次瀏覽)

此文章於 2017-08-22 09:13 PM 被 cmwang 編輯.
舊 2017-08-22, 09:05 PM #2
回應時引用此文章
cmwang離線中  


回應


POPIN
主題工具

發表文章規則
不可以發起新主題
不可以回應主題
不可以上傳附加檔案
不可以編輯您的文章

vB 代碼打開
[IMG]代碼打開
HTML代碼關閉



所有的時間均為GMT +8。 現在的時間是11:14 PM.


vBulletin Version 3.0.1
powered_by_vbulletin 2024。