Dav*_*sNT 2 networking windows firewall active-directory
我们有一些外部信任的多域 Active Directory 林。假设我们有一个名为company.com 的林根域和该林中的一些子域 -附属 1.com、附属 2.com和附属 3.com。我们正在创建防火墙规则,以限制从子公司网络到company.com域控制器的通信。
是否有任何来自 Microsoft 的文章描述了 AD 基础结构本身正常运行所需的工作站/成员服务器和同一林的其他域的域控制器之间所需的网络连接(防火墙中打开的端口)?此处提供有关此主题的一些信息:
如何为域和信任配置防火墙域和林信任
如何工作
但是,这些文章没有回答我的问题 - 是否需要从所有林域的所有工作站(和成员服务器)访问林根域的域控制器?
我知道如果从工作站无法访问林根域(以及所有其他域,用户和计算机所在的域除外)的 DC,则几乎大多数事情(例如来自 MacOS 工作站的域身份验证除外)都可以正常工作,但是我想查看 Microsoft 的任何官方信息,或听取在运行此类配置方面有长期经验的管理员的意见。
否 - 客户端只需要访问其域的域控制器。DC 需要能够通话,但可以通过桥头 DC 进行路由,因此不需要在所有参与者之间打开端口。
您应该查看您的全局编录服务器分布,以确保客户端可以访问它们需要运行的其他域中的数据。
关于大型环境中的 AD,有很多需要了解的地方。我会从这里开始:http : //technet.microsoft.com/en-us/library/dd578336(v=ws.10)
并考虑这本广告书的副本:
| 归档时间: |
|
| 查看次数: |
2981 次 |
| 最近记录: |