与受信任的Active Directory域的LDAP集成

概述

有两个域：domainA和domainB。我正在寻求进行配置，以便domainB的Web服务器可以利用另一个domainA中的AD服务帐户。

在domainB所在的环境中，我有一个Web服务器，该服务器需要返回到domainA才能查询所有用户。 domainA帐户的所有者创建了一个服务帐户用户，该用户允许domainB查询用户群。我们已经确定该帐户在直接从domainB控制器到domainA控制器进行测试时可以工作。当我们尝试使用服务帐户用户从Web服务器运行ldapsearch时，我们遇到了一些问题：

[ec2-user@hostname ~]$ ldapsearch -x -LLL -h $domainB_ipAddress -D $service_account_username -w $ad_pwd -b "OU=xxxxx,DC=xxxxx,DC=xxxxx,DC=xxxxx" 

ldap_bind: Invalid credentials (49)
        additional info: 80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839

注意：使用ldp.exe绑定已成功从domainB AD控制器向domainA AD控制器验证了此用户，因此我认为凭据是可以的。

我们当前的方法

根据我从我的团队收到的反馈，我们应该将服务帐户的请求从domainB Web服务器发送到domainB控制器，然后该信息将转发到受信任的domainA控制器，并返回所需的信息回到domainB Web服务器。

我对应该如何进行这种转发感到有些困惑，但是我们有一个要求，即我们不能从domainB的任何非AD服务器直接进入domainA控制器。

请求的反馈

1. 假定应该将任何请求从domainB控制器转发到domainA控制器是否正确？如果是这样，那么需要采取什么措施才能做到这一点？
2. 如果无法转发请求，我们需要做什么才能将用户从受信任的domainA引入到domainB控制器中，以便服务帐户可以在其中引用他们？