我在两个不同的林中有两个Active Directory域;每个域都有两个DC(所有这些都是
Windows Server 2008 R2).这些域也位于不同的网络中,并通过防火墙连接它们.
我需要在两个域和林之间创建双向林信任.
如何配置防火墙以允许此操作?
我找到了this article,但它没有很清楚地解释DC之间需要哪些流量,以及在一个域中的域计算机和另一个域中的DC之间需要哪些流量(如果有的话).
我被允许允许DC之间的所有流量,但是允许一个网络中的计算机访问另一个网络中的DC将会更加困难.
AD Trust的最低列表是:
53 TCP/UDP DNS 88 TCP/UDP Kerberos 389 TCP/UDP LDAP 445 TCP SMB 636 TCP LDAP (SSL)
您可以通过仅为TCP配置Kerberos来加强这一点.
如果你疯了,你可以使用HOSTS文件而不是DNS.
参考文献:Pber’s Blog和MS KB 179442
至于哪些计算机需要能够访问上述内容:验证受信任用户身份验证的计算机必须能够直接联系其自己的DC和受信任的DC.
例如:来自Alpha(域)的Bob正在尝试登录Omega(域)中的工作站.该工作站将检查其自己的DC以获取相关的信任信息.然后工作站将联系Alpha的DC,验证用户并登录.
另一个更棘手的例子:Bob正在Alpha域中使用他的工作站. Bob登录到在Omega域上运行的Web服务,但不使用Kerberos进行身份验证. Omega中的Web服务器将进行身份验证,因此它需要像上一个示例中的工作站一样进行访问.
最后一个我实际上并不记得“答案” – 与前一个完全一样,但使用Kerberized身份验证.我相信Omega Web服务器仍然需要访问权限,但它太长了,我没有实验室来快速测试.我应该深入研究这一天,写一篇博客文章.
