ワークステーションまたはサーバーが別のドメインのユーザーを認証しようとした場合、ワークステーションまたはサーバーは、ローカルドメインDCに接続した後、他のドメインのDCに直接接続して認証しますか?または、ローカルドメインDCは、ワークステーションに代わって認証要求を行いますか?
例:
現在、2つのドメインがあります。
ドメインhosted.contoso.comおよびoffice.contoso.com。
すべてのユーザーはoffice.contoso.comドメインで作成されるため、ユーザー[email protected]マシンにログインしたいHost1.hosted.contoso.com。 Host1.hosted.contoso.comはdomain-control.office.contoso.comを直接可視化する必要がありますか?
ユーザーSmithは、ドメインoffice.contoso.comで認証されています。このドメインはhosted.contoso.comと信頼関係があり、ユーザーSmithにHost1.hosted.contoso.comのチケットを提供します。
言い換えると、ユーザーはownドメインで認証されます(他のドメインは検証できません)。したがって、ユーザーが外部ドメインに接続すると、DCは他のドメインの有効なチケットを作成します(信頼できるドメインの場合)。したがって、この例では、Host1はdc.officeを参照する必要はありません。 、ただし、dc.officeにはdc.hostedへの接続が必要です。
http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx もご覧ください。