Mas*_*imo 8 firewall active-directory domain-controller windows-server-2008-r2
我在两个不同的林中有两个 Active Directory 域;每个域都有两个 DC(都是 Windows Server 2008 R2)。这些域也位于不同的网络中,并通过防火墙将它们连接起来。
我需要在两个域和林之间创建双向林信任。
如何配置防火墙以允许这样做?
我找到了这篇文章,但它并没有很清楚地解释 DC 之间需要哪些流量,以及在一个域中的域计算机和另一个域的 DC 之间需要哪些流量(如果有的话)。
我被允许允许 DC 之间的所有流量,但允许一个网络中的计算机访问另一个网络中的 DC 会有点困难。
AD 信任的最小列表是:
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
您可以通过仅为 TCP 配置 Kerberos 来加强它。
如果你疯了,你可以使用 HOSTS 文件而不是 DNS。
参考资料:Pber 的博客和MS KB 179442
至于哪些计算机需要能够访问上述: 验证受信用户身份验证的计算机必须能够直接联系自己的DC和受信任的DC。
例如:来自 Alpha(域)的 Bob 正在尝试登录到 Omega(域)中的工作站。该工作站将与它自己的 DC 核对以获取相关的信任信息。然后工作站将联系 Alpha 的 DC,验证用户并登录。
另一个棘手的例子:Bob 在 Alpha 域中使用他的工作站。Bob登录到一个Web服务,在欧米茄域中运行,但不能使用Kerberos身份验证。Omega 中的 Web 服务器将进行身份验证,因此它需要像前面示例中的工作站一样进行访问。
最后一个我实际上不记得“答案” - 与前一个完全一样,但使用 Kerberized 身份验证。我相信 Omega 网络服务器仍然需要同样的访问权限,但时间太长了,我没有实验室可以快速进行测试。我应该深入研究这一天并写一篇博客文章。