我在两个不同的林中有两个 Active Directory 域;每个域都有两个 DC(全部都是 Windows Server 2008 R2)。这些域也位于不同的网络中,它们之间通过防火墙连接。
我需要在两个域和森林之间创建双向森林信任。
我该如何配置防火墙以允许这样做?
我发现本文但是它并没有非常清楚地解释哪些流量是 DC 之间需要的,以及哪些流量(如果有的话)是在一个域中的域计算机和另一个域的 DC 之间需要的。
我可以允许 DC 之间的所有流量,但允许一个网络中的计算机访问另一个网络中的 DC 会有些困难。
答案1
AD Trust 的最低清单如下:
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
您可以通过仅为 TCP 配置 Kerberos 来稍微收紧这一点。
如果您很疯狂,您可以使用 HOSTS 文件而不是 DNS。
至于哪些计算机需要能够访问上述内容:验证受信任用户身份验证的计算机必须能够直接联系它自己的 DC 和受信任的 DC。
例如:来自 Alpha(域)的 Bob 尝试登录 Omega(域)中的工作站。该工作站将检查其自己的 DC 以获取相关信任信息。然后,工作站将联系来自 Alpha 的 DC,验证用户并登录。
另一个更棘手的例子:Bob 在 Alpha 域中使用他的工作站。Bob 登录到在 Omega 域上运行的 Web 服务,但不是使用 Kerberos 进行身份验证。Omega 中的 Web 服务器将进行身份验证,因此它需要像上一个示例中的工作站一样的访问权限。
最后一个我其实不记得“答案”了——和上一个完全一样,但使用了 Kerberized 身份验证。我相信 Omega 网络服务器仍然需要访问权限,但时间太长了,我没有实验室可以快速测试。我应该在某天深入研究这个问题并写一篇博客文章。