我正在尝试设计一个环境,该环境包含一个根为空的森林、一个用户域和多个用于不同组的域,这些域之间有防火墙。我希望有一个中央用户数据库,但每个组在 IP 级别进行细分。对于第一个组,森林将如下所示
当第一个域名运行正常后,我将添加其他组的域名。
假设每个域之间都有防火墙,并且每个组的域都使用子网进行划分。
这是初始防火墙设计
我正在尝试允许应用程序服务器上的用户枚举用户域中的用户和组对象。这就是问题所在。如果我不允许应用服务器和用户 DC 之间建立任何连接,我的用户可以毫无问题地登录,但他们无法枚举用户和组。另一方面,如果我允许 TCP 389(LDAP)和 TCP 88(Kerberos),我可以枚举用户和组,但交互式登录真的很慢,并且应用服务器在配置文件加载期间寻找 135(EPmapper)打开。作为测试,我打开了 135,然后 EPmapper 通过了 netlogon 端口的随机高点,当然应用服务器随后会尝试访问该端口。
那么你认为最好的做法是什么?我不能打开所有随机端口,这很愚蠢。我可以将 netlogon 端口设为所有 DC 上的静态端口,然后只打开该端口。还有其他想法吗?
答案1
以下是您需要。