当某些 DC 彼此之间有防火墙隔离时，如何建立单向信任？

Question 1

您只需要对 AD 域名本身进行 DNS 解析，而不需要对特定区域或区域中的 RR 进行 DNS 解析。您需要将问题隔离为名称解析问题 (DNS) 或通信问题 (防火墙)。

与使用主机文件不同，建议的配置是在对方域的 DNS 服务器中为每个域设置条件转发器（域 A 中的 DNS 服务器 A 具有指向域 B 的 DNS 服务器 B 的条件转发器）。

从每个域运行 nslookup 并查询其他域 (domain.tld)。Nslookup 应返回该域的 DNS 服务器的 IPv4 和 IPv6 IP 地址（除非您已将 DNS 角色从 DC 中分离出来，否则这些服务器可能也是该域的 DC）。如果 nslookup 有效，则 DNS 解析正常，您应该将防火墙视为可能的罪魁祸首。

Answer

您只需要对 AD 域名本身进行 DNS 解析，而不需要对特定区域或区域中的 RR 进行 DNS 解析。您需要将问题隔离为名称解析问题 (DNS) 或通信问题 (防火墙)。

与使用主机文件不同，建议的配置是在对方域的 DNS 服务器中为每个域设置条件转发器（域 A 中的 DNS 服务器 A 具有指向域 B 的 DNS 服务器 B 的条件转发器）。

从每个域运行 nslookup 并查询其他域 (domain.tld)。Nslookup 应返回该域的 DNS 服务器的 IPv4 和 IPv6 IP 地址（除非您已将 DNS 角色从 DC 中分离出来，否则这些服务器可能也是该域的 DC）。如果 nslookup 有效，则 DNS 解析正常，您应该将防火墙视为可能的罪魁祸首。

Question 2

你说得有点不清楚，但 DC 需要能够通信才能建立信任。如果需要，请设置 VPN。

您还提到了一些有关 hosts 文件的内容。不要这样做，这很糟糕。请改用条件 DNS 转发器到目标域。

Answer

你说得有点不清楚，但 DC 需要能够通信才能建立信任。如果需要，请设置 VPN。

您还提到了一些有关 hosts 文件的内容。不要这样做，这很糟糕。请改用条件 DNS 转发器到目标域。

Question 3

您的防火墙需要允许每个林中的域控制器之间的 LDAP 和 DNS 通信。您至少需要 1 个，但为了实现冗余，最好有 2 个。您不需要为每个域控制器创建防火墙规则。

LDAP：389、636（SSL）LDAP 全局目录查找：3268、3269（SSL）DNS：53

您还需要在每个域中设置条件转发器。在林 A 中的 DC/DNS 服务器上，为林 B 创建指向林 B 中的 1 或 2 个 DNS 服务器的条件转发器。然后在林 B 中，为林 A 创建指向林 A 中的 1 或 2 个 DNS 服务器的条件转发器。

Answer

您的防火墙需要允许每个林中的域控制器之间的 LDAP 和 DNS 通信。您至少需要 1 个，但为了实现冗余，最好有 2 个。您不需要为每个域控制器创建防火墙规则。

LDAP：389、636（SSL）LDAP 全局目录查找：3268、3269（SSL）DNS：53

您还需要在每个域中设置条件转发器。在林 A 中的 DC/DNS 服务器上，为林 B 创建指向林 B 中的 1 或 2 个 DNS 服务器的条件转发器。然后在林 B 中，为林 A 创建指向林 A 中的 1 或 2 个 DNS 服务器的条件转发器。

Question 4

当我们的 DC 之间有类似 DMZ 的网络区域时，我们会在它们之间使用 IPSEC 连接。我们这样做纯粹是为了让我们的通信团队的规则库更小、更易于管理 - 一个端口而不是多个端口。

IPsec 的好处是，它允许所有发往彼此的流量（无论源端口和类型）都被包装起来。

因此 DNS、信任等相关流量都运行正常。

Answer

当我们的 DC 之间有类似 DMZ 的网络区域时，我们会在它们之间使用 IPSEC 连接。我们这样做纯粹是为了让我们的通信团队的规则库更小、更易于管理 - 一个端口而不是多个端口。

IPsec 的好处是，它允许所有发往彼此的流量（无论源端口和类型）都被包装起来。

因此 DNS、信任等相关流量都运行正常。

当某些 DC 彼此之间有防火墙隔离时，如何建立单向信任？

答案1

答案2

答案3

答案4

相关内容