我有两个 Windows 2008 林,采用 Win2003 模式,我需要在它们之间建立单向信任。“域和信任”中的验证按钮在一个林中有效,但在另一个林中无效。
我认为这是因为并非所有 DC 都可以看到所有其他 DC。我不确定是否需要设置 hosts 文件,因此我在相应域中对 company.com 以及相关 DC 进行了设置。(我是否需要 _msdcs _tcp 区域等)
当某些 DC 彼此之间有防火墙隔离时,如何建立单向信任?
答案1
您只需要对 AD 域名本身进行 DNS 解析,而不需要对特定区域或区域中的 RR 进行 DNS 解析。您需要将问题隔离为名称解析问题 (DNS) 或通信问题 (防火墙)。
与使用主机文件不同,建议的配置是在对方域的 DNS 服务器中为每个域设置条件转发器(域 A 中的 DNS 服务器 A 具有指向域 B 的 DNS 服务器 B 的条件转发器)。
从每个域运行 nslookup 并查询其他域 (domain.tld)。Nslookup 应返回该域的 DNS 服务器的 IPv4 和 IPv6 IP 地址(除非您已将 DNS 角色从 DC 中分离出来,否则这些服务器可能也是该域的 DC)。如果 nslookup 有效,则 DNS 解析正常,您应该将防火墙视为可能的罪魁祸首。
答案2
你说得有点不清楚,但 DC 需要能够通信才能建立信任。如果需要,请设置 VPN。
您还提到了一些有关 hosts 文件的内容。不要这样做,这很糟糕。请改用条件 DNS 转发器到目标域。
答案3
您的防火墙需要允许每个林中的域控制器之间的 LDAP 和 DNS 通信。您至少需要 1 个,但为了实现冗余,最好有 2 个。您不需要为每个域控制器创建防火墙规则。
LDAP:389、636(SSL)LDAP 全局目录查找:3268、3269(SSL)DNS:53
您还需要在每个域中设置条件转发器。在林 A 中的 DC/DNS 服务器上,为林 B 创建指向林 B 中的 1 或 2 个 DNS 服务器的条件转发器。然后在林 B 中,为林 A 创建指向林 A 中的 1 或 2 个 DNS 服务器的条件转发器。
答案4
当我们的 DC 之间有类似 DMZ 的网络区域时,我们会在它们之间使用 IPSEC 连接。我们这样做纯粹是为了让我们的通信团队的规则库更小、更易于管理 - 一个端口而不是多个端口。
IPsec 的好处是,它允许所有发往彼此的流量(无论源端口和类型)都被包装起来。
因此 DNS、信任等相关流量都运行正常。