用于域间连接的防火墙端口

我试图devise一个具有一个空的根，一个用户域和多个域的森林的环境，这些域在不同的域之间具有防火墙。 我想有一个中央用户数据库，但是在每个人群的IP级别上进行分割。 对于第一组森林将是这样的

在第一个工作之后，我将添加其他组的域名。

假设每个域之间都有一个防火墙，并且它们被每个组域的子网分割。

• Exchange帐户禁用和删除提示
• OpenVPN客户端对Active Directory的身份validation失败
• Active Directory DNS – 仅在一个站点上更改条目
• 如何获取Samba中所有域用户的最后一次Windows域login时间？
• 从Server 2008 GP本地安全策略XP中不能更改“通过terminal服务login”

这是最初的防火墙devise

我试图让应用程序服务器上的用户枚举用户和用户域中的组对象。 这是问题。 如果我不允许应用服务器和用户数据中心之间build立连接，我的用户可以login，但是他们无法枚举用户和组。 另一方面如果我允许TCP 389（LDAP）和TCP 88（Kerberos），我可以枚举用户和组，但交互式login非常慢，应用程序服务器正在寻找在configuration文件加载期间打开的135（EPmapper）。 作为一个testing，我打开了135，然后EPmapper通过了一个随机高的netlogon端口，当然应用服务器然后试图击中。

那么你认为最好的行动是什么？ 我无法打开所有的随机高点，这是愚蠢的。 我可以使所有DC上的netlogon端口都是静态的，然后只打开那个端口。 任何其他的想法？