Tôi cần mở cổng tường lửa nào để ủy thác tên miền hoạt động?

8

Tôi có hai miền Active Directory ở hai khu rừng khác nhau; mỗi miền có hai DC (tất cả đều là Windows Server 2008 R2). Các miền cũng trong các mạng khác nhau, với một tường lửa kết nối chúng.

Tôi cần tạo một ủy thác rừng hai chiều giữa hai miền và rừng.

Làm cách nào để định cấu hình tường lửa để cho phép điều này?

Tôi đã tìm thấy bài viết này , nhưng nó không giải thích rất rõ lưu lượng nào được yêu cầu giữa các DC và lưu lượng nào (nếu có) cần thiết thay thế giữa các máy tính miền trong một miền và DC cho một tên miền khác.

Tôi được phép cho phép tất cả lưu lượng giữa các DC, nhưng cho phép các máy tính trong một mạng truy cập DC ở mạng kia sẽ khó khăn hơn một chút.

windows-server-2008-r2  firewall  domain-controller  active-directory 
Massimo
nguồn

Câu trả lời:

9

Danh sách tối thiểu cho AD Trust là:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

Bạn có thể thắt chặt điều đó một chút bằng cách định cấu hình Kerberos cho TCP.
Và nếu bạn điên, bạn có thể sử dụng tệp HOSTS thay vì DNS.

Tài liệu tham khảo: Blog của PberMS KB 179442

Đối với những máy tính nào cần có khả năng truy cập ở trên: Máy tính xác minh xác thực người dùng đáng tin cậy phải có thể liên hệ trực tiếp với cả DC của chính nó và DC đáng tin cậy.

Ví dụ: Bob từ Alpha (tên miền) đang cố gắng đăng nhập vào máy trạm trong Omega (tên miền). Máy trạm đó sẽ kiểm tra với các DC của chính nó để có được thông tin tin cậy có liên quan. Sau đó, máy trạm sẽ liên hệ với một DC từ Alpha, xác minh người dùng và đăng nhập.

Một ví dụ khác về stickier: Bob đang sử dụng máy trạm của mình trong miền Alpha. Bob đăng nhập vào một dịch vụ web chạy trên miền Omega, nhưng không sử dụng Kerberos để xác thực. Máy chủ web trong Omega sẽ thực hiện xác thực, vì vậy nó cần truy cập như máy trạm trong ví dụ trước.

Câu hỏi cuối cùng tôi thực sự không nhớ "câu trả lời" cho - chính xác như lần trước, nhưng sử dụng xác thực Kerberized. Tôi tin rằng máy chủ web Omega vẫn cần truy cập như cũ, nhưng nó đã quá lâu và tôi không có phòng thí nghiệm để kiểm tra nhanh chóng. Tôi nên đào sâu vào một trong những ngày này và viết một bài viết trên blog.

Chris S
nguồn
Ok, nhưng giữa các DC hoặc giữa các máy tính thành viên và các DC từ xa?
Massimo
Xin lỗi, khói mù buổi sáng thứ hai đã cho tôi viết câu trả lời "nghèo" một lần nữa.
Chris S
2
Giữa cả hai mạng như một toàn thể. Đây là một bài viết hay về giao tiếp / xác thực tin cậy và tin cậy: technet.microsoft.com/en-us/l
Library / cc773178 (v = ws.10) .aspx
Tốt Bạn có thể vui lòng xác nhận rằng NetBIOS (137-138-139) và RPC (135 + động) không cần thiết để ủy thác hoạt động không?
Massimo
Ngoài ra, nếu chuyển tiếp DNS được bật giữa hai miền, chỉ các DC sẽ cần nói chuyện DNS (53) giữa chúng; khách hàng trong miền A sẽ không có nhu cầu truy vấn trực tiếp máy chủ DNS cho miền B, phải không?
Massimo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.