2つの別々のADドメインコントローラー間でLDAPデータを単一のADAMインスタンスに同期します
いくつかのガイダンスをお願いしたいと思います。信頼が確立された別々のドメインに2つのActiveDirectoryドメインコントローラーがあります。 LDAP認証をサポートするアプリケーションもありますが、複数のLDAPサーバーはサポートしていません。 ADAM(Active Directoryアプリケーションモード)について調査しましたが、いくつかのことを明らかにしたいと思います。 1. ADAM内にパーティションを作成する場合、ADの名前付けコンテキストに一致するパーティションを作成する必要があります。つまり、ADがDC = abc、DC = orgの場合、ADAMネーミングコンテキストはDC = abc、DC = orgである必要があります。これは本当ですか?もしそうなら、どうすれば2番目のADDCとの同期を回避できますか。別のパーティションが必要ですか?もしそうなら、私はアプリケーションLDAP認証に関する限り私は正方形に戻っていると思います。複数のActiveDirectoryインスタンスのユーザーを組み合わせるより良い方法はありますか?
ADAMSyncは、送信元DNと宛先DNで異なるDNをサポートします。したがって、例として、ソースにDC = Domain、DC = Comを、ADAMパーティションにO = Domain、C = USを使用できます。ここでは問題ありません。
問題が発生するのは、両方のドメインを同じパーティションに同期することです。 DC = Domain1、DC = COMとDC = Domain2、DC = Orgの両方をO = Domain、C = USに同期させることはできません。これらのソースの1つだけを宛先パーティションに同期させることができます。
問題が発生する理由は、adamsyncが宛先ADAMパーティションに設定を保存する必要があるためです。 2つの構成をNCに同時に保存することはできません。この場合、DC = Domain1、DC = COMを選択すると、その同期を実行するための関連する構成が書き込まれます。 DC = Domain2、DC = COMを保存しようとすると、DC = Domain1、DC = COMの以前の構成は失われます。
DC = Domain1、DC = COM関連のXMLに対して/ installを実行してから、/ syncを実行するオプションがあります。次に、DC = Domain2、DC = COM XMLを/インストールし、そのために/ syncを実行します。したがって、構成を交換し、/ syncを実行し続けます。
これは機能しますが、IMHOはエレガントではありません。それはいくつかの目的に合うかもしれません。