ドメインコントローラーが自身のドメインのLDAP参照を返す
2つのドメインがあり、それぞれに2つのドメインコントローラがあります。
- company.local
- ad.company.com.au
両方のドメインが同じフォレストにあり、双方向の信頼が設定されています。現在ad.company.com.auに移行していますが、LDAPにクエリを実行する必要があるシステムで問題が発生しています。
ad.company.com.auのいずれかのドメインコントローラーに対してLDAP検索を実行すると、ADの制御下にないcompany.com.auへの参照が取得されます。
$ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "[email protected]" -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <DC=company,DC=com,DC=au> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# with manageDSAit control
#
# search result
search: 2
result: 10 Referral
text: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points
ref 1: 'company.
com.au'
ref: ldap://company.com.au/DC=company,DC=com,DC=au
# numResponses: 1
紹介は、ADが制御しないcompany.com.auを指していることに注意してください。ドメインはad.company.com.auであり、company.com.auネームサーバーによって2つのDCに委任されています。
同じサーバーでグローバルカタログをクエリすると、期待どおりの結果が得られます。
では、ドメインのドメインコントローラーが、LDAP内のドメインを知らないのに、GCは知っているのはなぜですか。
検索ベースとしてcompany.com.auを指定しているためです。参照を取得せずにドメインローカルパーティションをクエリする場合は、ad.company.com.auを検索ベースとして使用します。