我在两个不同的森林中有两个Active Directory域; 每个域有两个DC(都是Windows Server 2008 R2)。 这些域也位于不同的networking中,并通过防火墙连接它们。
我需要在两个域和森林之间创build一个双向森林信任。
如何configuration防火墙来允许这个?
我find了这篇文章 ,但是它并没有很清楚地解释DC之间需要哪些stream量,需要哪些stream量(如果有的话),而不是一个域的域计算机和另一个域的DC之间。
我可以允许区议会之间的所有通信,但是允许一个networking中的计算机访问另一个区域中的区议会会更困难。
AD信托的最低清单是:
53 TCP/UDP DNS 88 TCP/UDP Kerberos 389 TCP/UDP LDAP 445 TCP SMB 636 TCP LDAP (SSL) 您可以通过仅为TCPconfigurationKerberos来加强这一点。
如果你疯了,你可以使用HOSTS文件而不是DNS。
参考文献: Pber的博客和MS KB 179442
至于哪些计算机需要能够访问上述内容:validation可信用户身份validation的计算机必须能够直接联系自己的DC和可信DC。
例如:来自Alpha(域)的Bob正在尝试login到Omega(域)中的工作站。 该工作站将检查自己的DC以获取相关的信任信息。 然后工作站将联系阿尔法一个DC,validation用户,并login。
另一个更加棘手的例子:Bob在Alpha域使用他的工作站。 Boblogin到在Omega域上运行的Web服务,但不使用Kerberos进行身份validation。 Omega中的Web服务器将要进行身份validation,因此需要像上例中的工作站一样访问。
最后一个我不记得“答案” – 完全像以前一样,但使用Kerberized身份validation。 我相信欧米茄networking服务器仍然需要访问,但是时间太长,我没有一个实验室来快速testing。 我应该深入研究这些日子,写一篇博客文章。