У меня два домена Active Directory в двух разных лесах; каждый домен имеет два контроллера домена (все они Windows Server 2008 R2). Домены также находятся в разных сетях, и их соединяет межсетевой экран.
Мне нужно создать двустороннее доверие между двумя доменами и лесом.
Как мне настроить брандмауэр, чтобы разрешить это?
я нашел Эта статья, но он не очень четко объясняет, какой трафик требуется между контроллерами домена и какой трафик (если таковой имеется) требуется вместо этого между компьютерами домена в одном домене и контроллерами домена в другом.
Мне разрешено разрешить весь трафик между контроллерами домена, но разрешить компьютерам в одной сети доступ к контроллерам домена в другой будет немного сложнее.
Минимальный список для AD Trust:
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
Вы можете немного усложнить это, настроив Kerberos только для TCP.
А если вы сошли с ума, вы можете использовать файлы HOSTS вместо DNS.
Ссылки: Блог Пбера и MS KB 179442
Что касается компьютеров, которые должны иметь доступ к вышеуказанному: компьютер, проверяющий аутентификацию доверенного пользователя, должен иметь возможность напрямую связываться как с собственным DC, так и с Trusted DC.
Например: Боб из Alpha (домен) пытается войти на рабочую станцию, которая находится в Omega (домен). Эта рабочая станция сверится с собственными контроллерами домена, чтобы получить соответствующую информацию о доверии. Затем рабочая станция свяжется с DC из Alpha, проверит пользователя и войдет в систему.
Еще один интересный пример: Боб использует свою рабочую станцию в домене Alpha. Боб входит в веб-службу, работающую в домене Omega, но делает не использовать Kerberos для аутентификации. Веб-сервер в Omega будет выполнять аутентификацию, поэтому ему нужен доступ, как и к рабочей станции в предыдущем примере.
На последний вопрос, на который я фактически не помню "ответ" - точно так же, как и предыдущий, но с использованием аутентификации Kerberized. Я считаю, что веб-серверу Omega по-прежнему нужен доступ, но прошло слишком много времени, и у меня нет лаборатории, чтобы быстро это проверить. Я должен покопаться в этом на днях и написать статью в блоге.