鵝有user要透過AD做SSO,不同AD domain的話只要建好forest trust是沒問題的,但最近他們提出一個怪異的須求,就是有兩台不同的DC各自管理不同的client(假設是DC A和DC B好了),只是這兩台DC的AD domain是設成一樣的(但user database是各自獨立的,平常user也不會跨DC login,只是都會用到已經在DC A上註冊的Web A ),user是說DC A和DC B已經建好forest trust了,但DC B的user無法透過SSO login Web A,鵝對Microsoft的AD其實也不熟,請問一下這種狀況下DC A和DC B可以建forest trust嗎(以鵝的認知,應該是設成某個AD有multi DC,由系統將相同的內容replicate到所有DC上吧 ),還是說就別管DC A和DC B間啥信任關係了,而是直接在DC B上產生Web A的SPN,再import到Web A上,DC B的user要連上Web A時是憑DC B簽發的Kerberos ticket,與DC A無關才是對的,有朋友可以指點一下嗎....