我们有几个外部信任的多域Active Directory林。 假设我们有名为company.com的森林根域以及该森林中的一些子域 – subsidiary1.com , subsidiary2.com和subsidiary3.com 。 我们正在创build防火墙规则,限制从子公司的networking到company.com的域控制器的通信。
是否有来自Microsoft的文章描述了AD基础架构本身正确运行所需的工作站/成员服务器与同一森林的其他域的域控制器之间所需的networking连接(防火墙中打开的端口)? 关于这个主题的一些信息在这里:
如何为域和信任configuration防火墙
域和森林信托如何工作
但是,这些文章不回答我的问题 – 从所有森林域的所有工作站(和成员服务器)需要访问林根域的域控制器?
我知道,如果不能从工作站访问森林根域(以及除用户和计算机所在的域之外的所有其他域)的DC,大多数情况下(例如MacOS工作站的域authentication除外)工作正常,但是我希望查看来自微软的任何官方信息,或听取有长期运行此类configuration经验的pipe理员的意见。
否 – 客户端只需要访问其域的域控制器。 DC需要能够通话,但可以通过桥头DC进行路由,因此不需要在所有参与者之间打开端口。
您应该查看您的全局编录服务器分配,以确保客户端可以访问其他需要运行的域的数据。
在大型环境中有许多关于AD的知识。 我会从这里开始: http : //technet.microsoft.com/en-us/library/dd578336(v=ws.10)
并考虑这本AD书的副本:
一些美国政府机构有一个父林根域,只能通过指定桥头域控制器的IPSEC连接访问。 子域之间甚至从子域到林根域之间没有ip连接。 这是完全可以接受的。
我知道有两个场景,子域中的客户端需要访问父域中的DC: