我在两个不同的林中有两个Active Directory域;每个域都有两个DC(所有这些都是
Windows Server 2008 R2).这些域也位于不同的网络中,并通过防火墙连接它们.
我需要在两个域和林之间创建双向林信任.
如何配置防火墙以允许此操作?
我找到了this article,但它没有很清楚地解释DC之间需要哪些流量,以及在一个域中的域计算机和另一个域中的DC之间需要哪些流量(如果有的话).
AD Trust的最低列表是:
53 TCP/UDP DNS 88 TCP/UDP Kerberos 389 TCP/UDP LDAP 445 TCP SMB 636 TCP LDAP (SSL)
您可以通过仅为TCP配置Kerberos来加强这一点.
如果你疯了,你可以使用HOSTS文件而不是DNS.
参考文献:Pber’s Blog和MS KB 179442
至于哪些计算机需要能够访问上述内容:验证受信任用户身份验证的计算机必须能够直接联系其自己的DC和受信任的DC.
例如:来自Alpha(域)的Bob正在尝试登录Omega(域)中的工作站.该工作站将检查其自己的DC以获取相关的信任信息.然后工作站将联系Alpha的DC,验证用户并登录.
另一个更棘手的例子:Bob正在Alpha域中使用他的工作站. Bob登录到在Omega域上运行的Web服务,但不使用Kerberos进行身份验证. Omega中的Web服务器将进行身份验证,因此它需要像上一个示例中的工作站一样进行访问.
最后一个我实际上并不记得“答案” – 与前一个完全一样,但使用Kerberized身份验证.我相信Omega Web服务器仍然需要访问权限,但它太长了,我没有实验室来快速测试.我应该深入研究这一天,写一篇博客文章.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
