У меня есть два леса Windows 2008 в режиме Win2003, и мне нужно установить между ними одностороннее доверие. Кнопка проверки в Domains And Trusts работает в одном лесу, но не работает в другом.
Я думаю, это потому, что не все DC могут видеть все остальные DC. Я не уверен, нужно ли мне настраивать файл hosts, поэтому я сделал это с помощью company.com в соответствующем домене вместе с соответствующим DC. (мне нужны зоны _msdcs _tcp и т. д.)
Как установить одностороннее доверие, когда некоторые контроллеры домена изолированы друг от друга брандмауэром?
Вы немного неясны, но контроллеры домена должны иметь возможность общаться, чтобы возникло доверие. Если нужно, настройте VPN.
Вы также упомянули кое-что о файле hosts. Не делай этого, это плохо. Вместо этого используйте условный сервер пересылки DNS на целевой домен.
Вам нужно только разрешение DNS для самого доменного имени AD, а не для определенных зон или RR в зонах. Вам нужно изолировать проблему либо от проблемы разрешения имен (DNS), либо от проблемы связи (межсетевой экран).
Вместо использования файлов хоста рекомендуемой конфигурацией является установка серверов условной пересылки для каждого домена на DNS-серверах противоположного домена (DNS serverA в domainA имеет условную пересылку на DNS serverB для domainB).
Из каждого домена запустите nslookup и запросите другой домен (domain.tld). Nslookup должен возвращать IP-адреса IPv4 и IPv6 для DNS-серверов для этого домена (которые, вероятно, также являются DC для этого домена, если вы не разделили роль DNS с DC). Если nslookup работает, разрешение DNS в порядке, и вам следует смотреть на брандмауэр как на вероятного виновника.
Ваш брандмауэр должен будет разрешать трафик LDAP и DNS между контроллерами домена в каждом лесу. Вам понадобится как минимум 1, но 2 лучше всего для избыточности. Вам не нужно создавать правило брандмауэра для каждого контроллера домена.
LDAP: 389, 636 (SSL) Поиск в глобальном каталоге LDAP: 3268, 3269 (SSL) DNS: 53
Вы также можете настроить условных серверов пересылки в каждом домене. На DC / DNS-сервере в лесу A создайте сервер условной пересылки для леса B, указывающий на 1 или 2 DNS-сервера в лесу B. Затем в лесу B создайте сервер условной пересылки для леса A, который указывает на 1 или 2 DNS-сервера в лесу. Форест А.
Мы используем IPSEC-соединения между нашими контроллерами домена, когда между ними есть сетевые зоны типа DMZ. Мы делаем это исключительно для того, чтобы сделать базу правил для нашей команды связи меньше и проще в управлении - один порт против многих.
Преимущество IPsec заключается в том, что он позволяет объединить весь трафик, предназначенный друг для друга (независимо от порта и типа источника).
Таким образом, трафик, связанный с DNS, доверием и т. Д., Работает нормально.