windows-server-2008-r2 – 我需要打开哪些防火墙端口才能使域信任工作?

我在两个不同的林中有两个Active Directory域;每个域都有两个DC(所有这些都是 Windows Server 2008 R2).这些域也位于不同的网络中,并通过防火墙连接它们.

我需要在两个域和林之间创建双向林信任.

如何配置防火墙以允许此操作?

我找到了this article,但它没有很清楚地解释DC之间需要哪些流量,以及在一个域中的域计算机和另一个域中的DC之间需要哪些流量(如果有的话).

我被允许允许DC之间的所有流量,但是允许一个网络中的计算机访问另一个网络中的DC将会更加困难.

AD Trust的最低列表是:
53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

您可以通过仅为TCP配置Kerberos来加强这一点.
如果你疯了,你可以使用HOSTS文件而不是DNS.

参考文献:Pber’s BlogMS KB 179442

至于哪些计算机需要能够访问上述内容:验证受信任用户身份验证的计算机必须能够直接联系其自己的DC和受信任的DC.

例如:来自Alpha(域)的Bob正在尝试登录Omega(域)中的工作站.该工作站将检查其自己的DC以获取相关的信任信息.然后工作站将联系Alpha的DC,验证用户登录.

一个更棘手的例子:Bob正在Alpha域中使用他的工作站. Bob登录到在Omega域上运行的Web服务,但不使用Kerberos进行身份验证. Omega中的Web服务器将进行身份验证,因此它需要像上一个示例中的工作站一样进行访问.

最后一个我实际上并不记得“答案” – 与前一个完全一样,但使用Kerberized身份验证.我相信Omega Web服务器仍然需要访问权限,但它太长了,我没有实验室来快速测试.我应该深入研究这一天,写一篇博客文章.

相关文章

Windows2012R2备用域控搭建 前置操作 域控主域控的主dns:自...
主域控角色迁移和夺取(转载) 转载自:http://yupeizhi.blo...
Windows2012R2 NTP时间同步 Windows2012R2里没有了internet时...
Windows注册表操作基础代码 Windows下对注册表进行操作使用的...
黑客常用WinAPI函数整理之前的博客写了很多关于Windows编程的...
一个简单的Windows Socket可复用框架说起网络编程,无非是建...