windows-server-2008-r2 – 我需要打开哪些防火墙端口才能使域信
|
我在两个不同的林中有两个Active Directory域;每个域都有两个DC(所有这些都是 Windows Server 2008 R2).这些域也位于不同的网络中,并通过防火墙连接它们. 我需要在两个域和林之间创建双向林信任. 如何配置防火墙以允许此操作? 我找到了this article,但它没有很清楚地解释DC之间需要哪些流量,以及在一个域中的域计算机和另一个域中的DC之间需要哪些流量(如果有的话). 我被允许允许DC之间的所有流量,但是允许一个网络中的计算机访问另一个网络中的DC将会更加困难. AD Trust的最低列表是:53 TCP/UDP DNS 88 TCP/UDP Kerberos 389 TCP/UDP LDAP 445 TCP SMB 636 TCP LDAP (SSL) 您可以通过仅为TCP配置Kerberos来加强这一点. 参考文献:Pber’s Blog和MS KB 179442 至于哪些计算机需要能够访问上述内容:验证受信任用户身份验证的计算机必须能够直接联系其自己的DC和受信任的DC. 例如:来自Alpha(域)的Bob正在尝试登录Omega(域)中的工作站.该工作站将检查其自己的DC以获取相关的信任信息.然后工作站将联系Alpha的DC,验证用户并登录. 另一个更棘手的例子:Bob正在Alpha域中使用他的工作站. Bob登录到在Omega域上运行的Web服务,但不使用Kerberos进行身份验证. Omega中的Web服务器将进行身份验证,因此它需要像上一个示例中的工作站一样进行访问. 最后一个我实际上并不记得“答案” – 与前一个完全一样,但使用Kerberized身份验证.我相信Omega Web服务器仍然需要访问权限,但它太长了,我没有实验室来快速测试.我应该深入研究这一天,写一篇博客文章. (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |