域控制器为其自己的域返回LDAP引用

我有2个域，每个域都有2个域控制器：

• company.local
• ad.company.com.au

两个域都在同一个林中，并且具有双向信任设置。ad.company.com.au目前，我们正在迁移到，但是对于需要查询LDAP的系统存在一些问题。

当对其中任何一个域控制器进行LDAP搜索时，ad.company.com.au我们得到一个不受company.com.auAD控制的引用：

$ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "my.username@ad.company.com.au" -W
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <DC=company,DC=com,DC=au> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# with manageDSAit control
#

# search result
search: 2
result: 10 Referral
text: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points
    ref 1: 'company.
 com.au'

ref: ldap://company.com.au/DC=company,DC=com,DC=au

# numResponses: 1

请注意company.com.auAD不控制的引用点-域是该域，ad.company.com.au并且company.com.au域名服务器将其委托给2个DC。

在同一服务器上查询全局编录将为我们提供预期的结果。

那么，为什么一个域的域控制器不知道它的LDAP中的域，而GC却知道呢？

因为您要指定company.com.au作为搜索基础。如果要查询域本地分区而没有引荐，请使用ad.company.com.au作为搜索基础。