Как запросить только определенные домены LDAP из леса ADAS

Question

У меня есть ситуация, когда в моем приложении запрашивается порт Глобального каталога через порт 3269 для извлечения DN, он всегда ожидает уникальный результат для каждого пользовательского запроса и выдает исключение, если результат более одного CN для одного и того же пользователя (Если пользовательявляется частью более чем одной группы AD).Я хочу избежать этой ситуации, запрашивая только 2 домена из полного набора доменов в лесу. Пожалуйста, сообщите мне, могу ли я достичь этого с помощью любого фильтра в запросе Глобального каталога или возможно запросить два домена одновременно, спасибозаранее.

Answer 1

Невозможно включить результаты только из определенных доменов в лесу, когда вы запрашиваете Глобальный каталог.

Есть несколько атрибутов, которые содержат домен учетной записи, но ни один из них не может бытьиспользуется в запросе.distinguishedName, конечно, содержит DN домена, но AD не позволяет запрашивать частичное совпадение на distinguishedName (например, (distinguishedName=*DC=domain,DC=com) не будет работать).

Существуют также атрибуты msDS-PrincipalName (формат DOMAIN\username) и canonicalName (формат domain.com/Users/TheUser), но оба они являются созданными атрибутами, которые рассчитываются в тот момент, когда вы их запрашиваете, поэтому их нельзя использовать взапросы.

Вы можете сделать две вещи:

1. Запросить глобальный каталог, а затем отбросить результаты из доменов, которые вам не нужны.Вы можете сделать это, изучив часть домена distinguishedName, msDS-PrincipalName или canonicalName.(поскольку последние два являются составными атрибутами, поэтому вам нужно запросить их возврат в поиске, иначе они не будут)
2. Не используйте Глобальный каталог.Запросите два домена по отдельности.

Вариант 1, вероятно, будет быстрее, поскольку вы выполняете только один поиск вместо двух.