我们拥有多个域 Active Directory 林,其中包含一些外部信任。假设我们有一个林根域名为company.com以及该森林中的几个子域 -子公司1.com,子公司2.com和子公司3.com。我们正在创建防火墙规则,以限制与域控制器的通信company.com来自子公司网络。
微软有没有文章描述了 AD 基础设施本身正常运行所需的工作站/成员服务器与同一林中其他域的域控制器之间的网络连接(防火墙中打开的端口)?有关此主题的一些信息如下:
如何为域和信任配置防火墙
域和林信任的工作原理
但是这些文章并没有回答我的问题 - 是否需要从所有林域的所有工作站(和成员服务器)访问林根域的域控制器?
我知道,如果林根域的 DC(以及除用户和计算机所在域之外的所有其他域)无法从工作站访问,那么实际上大多数事情(例如,除了来自 MacOS 工作站的域身份验证)都可以正常工作,但我想查看来自 Microsoft 的任何官方信息或听取在运行此类配置方面具有长期经验的管理员的意见。
答案1
否 - 客户端只需要访问其域的域控制器。DC 需要能够通信,但可以通过桥头 DC 进行路由,因此不需要在所有参与者之间打开端口。
您应该查看全局目录服务器分布,以确保客户端可以访问其运行所需的其他域的数据。
关于大型环境中的 AD,有很多需要了解的内容。我将从这里开始: http://technet.microsoft.com/en-us/library/dd578336(v=ws.10)
并考虑这个的副本广告书:
答案2
一些美国政府机构拥有父级林根域,该域只能通过指定桥头域控制器的 IPSEC 连接进行访问。子域之间没有 IP 连接,甚至子域与林根域之间也没有 IP 连接。这是完全可以接受的。
答案3
我知道有两种情况,其中子域中的客户端需要访问父域中的 DC:
- 对来自客户端域的帐户与父域中的资源进行无缝 Kerberos 身份验证(尽管身份验证能无需该访问权限即可工作)
- ADBA(基于 Active Directory 的激活)——这是我刚从 MS Directory Services 团队了解到的。ADBA 每个林配置一次,但仅由根域中的 DC 提供服务 >:(