Службу можно интегрировать в среду Active Directory, которая состоит из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.

Среда с одним доменом Active Directory

Одиночное развертывание Active Directory позволяет синхронизировать пользователей и группы из одного домена Active Directory.

Для этой среды при добавлении каталога в службу выберите параметр «Active Directory по LDAP».

Дополнительные сведения см. в следующих документах:

Среда Active Directory в нескольких доменах и одном лесу

Развертывание Active Directory в нескольких доменах и одном лесу позволяет синхронизировать пользователей и группы из нескольких доменов Active Directory в пределах одного леса.

Для этой среды Active Directory службу можно настроить как одиночную службу Active Directory, тип каталога «Встроенная проверка подлинности Windows», а также как тип каталога «Active Directory по LDAP», настроенный с функциями глобального каталога.

  • Рекомендуемый вариант — создание одной службы Active Directory с типом каталога «Встроенная проверка подлинности Windows».

    При добавлении каталога для этой среды выберите параметр «Active Directory (встроенная проверка подлинности Windows)».

    Дополнительные сведения см. в следующих документах:

  • Если встроенная проверка подлинности Windows не работает в среде Active Directory, создайте каталог типа «Active Directory с протоколом LDAP» и укажите, что он должен быть глобальным.

    При выборе глобального каталога действует ряд ограничений, которые перечислены ниже.

    • Атрибуты объектов Active Directory, которые реплицируются в глобальный каталог, определяются в схеме Active Directory как частичный набор атрибутов (PAS). Служба может сопоставлять только эти атрибуты. При необходимости измените схему, добавив или удалив в ней атрибуты, которые хранятся в глобальном каталоге.

    • Для глобального каталога членство в группе (атрибут участника) сохраняется только в случае, если группы универсальные. Со службой синхронизируются только универсальные группы. Если группа локальная или глобальная, при необходимости можно изменить ее область действия на универсальную.

    • Для учетной записи с различающимся именем для подключения, определенной при настройке каталога в службе, необходимо предоставить права на чтение атрибута Token-Groups-Global-And-Universal (TGGAU).

    Active Directory использует порты 389 и 636 для стандартных запросов LDAP. Для запросов глобального каталога используются порты 3268 и 3269.

    При добавлении каталога для среды глобального каталога задайте следующие параметры.

    • Выберите параметр «Active Directory с протоколом LDAP».

    • Снимите флажок для параметра Данный каталог поддерживает поиск размещения службы DNS.

    • Выберите параметр Для этого каталога существует глобальный каталог. Если выбрать этот параметр, номер порта сервера автоматически изменится на 3268. Кроме того, поскольку при настройке глобального каталога базовое различающееся имя не требуется, текстовое поле «Базовое различающееся имя» не отображается.

    • Добавьте имя узла сервера Active Directory.

    • Если для Active Directory требуется доступ по протоколу SSL, выберите параметр Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL и вставьте сертификат в соответствующее текстовое поле. Если выбрать этот параметр, номер порта сервера автоматически изменится на 3269.

Среда Active Directory в нескольких лесах с отношениями доверия

Развертывание Active Directory в нескольких лесах с отношениями доверия позволяет синхронизировать пользователей и группы из нескольких доменов Active Directory в нескольких лесах, где между доменами существуют двусторонние отношения доверия.

При добавлении каталога для этой среды выберите параметр «Active Directory (встроенная проверка подлинности Windows)».

Дополнительные сведения см. в следующих документах:

Среда Active Directory в нескольких лесах без отношений доверия

Развертывание Active Directory в нескольких лесах без отношений доверия позволяет синхронизировать пользователей и группы из нескольких доменов Active Directory в нескольких лесах, где между доменами нет двусторонних отношений доверия. В этой среде вы создаете в службе несколько каталогов, по одному каталогу для каждого леса.

Тип каталогов, которые вы создаете в службе, зависит от леса. Для лесов с несколькими доменами выберите параметр «Active Directory (встроенная проверка подлинности Windows)». Для леса с одним доменом выберите параметр «Active Directory по LDAP».

Дополнительные сведения см. в следующих документах: