我不熟悉 Active Directory,对防火墙的了解也非常有限。我试图了解“信任”是如何工作的。假设有以下情况:
- 有 2 个独立网络
- 将外部信任授予网络 1 中的域和网络 2 中的另一个域
网络 1 中的域中的用户是否需要先通过网络 2 中的防火墙?如何设置?
答案1
是的,两个网络之间必须允许通信,但客户端较少,需要交换域相关数据的 AD 服务器较多。请记住,信任是一种加密构造,因此它与防火墙没有任何关系。我建议您使用某种形式的隧道连接(VPN、SSH 等)来实现局域网间通信,因为在互联网上暴露这些链接存在危险。
答案2
如果您正在谈论通过互联网建立信任 - 请不要这样做。为此使用类似 AD 联合服务的东西。
但我认为您并不是在谈论在互联网上建立 AD 信任,而是在谈论穿越网络上的内部防火墙。
这篇文章对此进行了明确的阐述。查看链接或在新选项卡中打开此图像以查看完整尺寸:
因此,基本上,您只需要与成员服务器相同的端口即可通过 AD 进行身份验证。DC 使用相同的端口与另一个 DC 建立信任。Kerberos、LDAP 等。
当然,您也需要名称解析。这通常由域 A 中的存根区域或条件转发器处理,以使其能够解析域 B。
对于 RPC,您可以限制动态 RPC 范围通过注册表控制计算机。如果您不想在防火墙上为动态 RPC 打开 10,000 个端口,您至少可以将其限制为几百个动态端口。