Какие порты брандмауэра мне нужно открыть, чтобы доменное доверие работало?


8

У меня есть два домена Active Directory в двух разных лесах; каждый домен имеет два DC (все они Windows Server 2008 R2). Домены также находятся в разных сетях, с брандмауэром, соединяющим их.

Мне нужно создать двустороннее доверие леса между двумя доменами и лесом.

Как настроить брандмауэр, чтобы разрешить это?

Я нашел эту статью , но она не очень четко объясняет, какой трафик требуется между контроллерами домена, и какой трафик (если таковой имеется) необходим вместо этого между компьютерами домена в одном домене и контроллерами домена для другого.

Мне разрешено разрешать весь трафик между контроллерами домена, но разрешить компьютерам в одной сети доступ к контроллерам домена в другом будет немного сложнее.

Ответы:


9

Минимальный список для доверия AD:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

Вы можете немного улучшить это, настроив Kerberos только для TCP.
И если вы сошли с ума, вы можете использовать файлы HOSTS вместо DNS.

Ссылки: Блог Пбера и MS KB 179442


Что касается того, какие компьютеры должны иметь доступ к вышеперечисленному: Компьютер, проверяющий аутентификацию доверенного пользователя, должен иметь возможность напрямую связываться как со своим собственным DC, так и с доверенным DC.

Например: Боб из Alpha (домен) пытается войти на рабочую станцию, которая находится в Omega (домен). Эта рабочая станция проверит свои собственные контроллеры домена, чтобы получить соответствующую информацию о доверии. Затем рабочая станция свяжется с DC от Alpha, проверит пользователя и войдет в систему.

Другой пример: Боб использует свою рабочую станцию ​​в домене Alpha. Боб входит в веб-сервис, который работает в домене Omega, но не использует Kerberos для аутентификации. Веб-сервер в Omega будет выполнять аутентификацию, поэтому ему необходим доступ, как и к рабочей станции в предыдущем примере.

Последнее, что я на самом деле не помню «ответ» - точно так же, как предыдущий, но с использованием Kerberized аутентификации. Я полагаю, что веб-серверу Omega все еще нужен доступ, но он слишком длинный, и у меня нет лаборатории, чтобы быстро это проверить. Я должен покопаться в этом на днях и написать статью в блоге.


Хорошо, но между DC или между компьютерами-членами и удаленными DC?
Массимо

Извините, в понедельник утром в тумане я снова пишу "плохие" ответы.
Крис С

2
Между обеими сетями в целом. Вот хорошая статья о доверительных отношениях и доверительном взаимодействии / аутентификации: technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx
joeqwerty

Хорошо. Не могли бы вы подтвердить, что NetBIOS (137-138-139) и RPC (135 + динамический) не нужны для работы доверия?
Массимо

Кроме того, если переадресация DNS включена между двумя доменами, только DC должны будут общаться между собой DNS (53); клиентам в домене A не нужно будет напрямую запрашивать DNS-серверы для домена B, верно?
Массимо
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.