Port firewall mana yang harus saya buka agar kepercayaan domain berfungsi?

8

Saya memiliki dua domain Direktori Aktif di dua hutan berbeda; setiap domain memiliki dua DC (semuanya Windows Server 2008 R2). Domain juga ada di jaringan yang berbeda, dengan firewall yang menghubungkannya.

Saya perlu menciptakan kepercayaan hutan dua arah antara dua domain dan hutan.

Bagaimana cara mengkonfigurasi firewall untuk mengizinkan ini?

Saya menemukan artikel ini , tetapi tidak menjelaskan dengan jelas lalu lintas mana yang diperlukan antara DC, dan lalu lintas mana (jika ada) yang dibutuhkan alih-alih antara komputer domain dalam satu domain dan DC untuk yang lainnya.

Saya diizinkan untuk mengizinkan semua lalu lintas antara DC, tetapi mengizinkan komputer di satu jaringan untuk mengakses DC di yang lain akan sedikit lebih sulit.

Massimo
sumber

Jawaban:

9

Daftar minimum untuk Trust AD adalah:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

Anda dapat mengencangkannya sedikit dengan mengkonfigurasi Kerberos hanya untuk TCP.
Dan jika Anda gila, Anda bisa menggunakan file HOSTS alih-alih DNS.

Referensi: Pber's Blog dan MS KB 179442


Mengenai komputer mana yang harus dapat mengakses hal-hal di atas: Komputer yang memverifikasi otentikasi pengguna tepercaya harus dapat langsung menghubungi baik DC itu sendiri maupun DC Tepercaya.

Misalnya: Bob dari Alpha (domain) sedang mencoba masuk ke workstation yang ada di Omega (domain). Workstation itu akan memeriksa dengan DC sendiri untuk mendapatkan informasi kepercayaan yang relevan. Kemudian workstation akan menghubungi DC dari Alpha, memverifikasi pengguna, dan masuk.

Contoh lengket lainnya: Bob menggunakan stasiun kerjanya di domain Alpha. Bob masuk ke layanan web yang berjalan di domain Omega, tetapi tidak menggunakan Kerberos untuk mengautentikasi. Server web di Omega akan melakukan otentikasi, sehingga perlu akses seperti workstation pada contoh sebelumnya.

Yang terakhir saya tidak benar-benar ingat "jawaban" untuk - persis seperti sebelumnya, tetapi menggunakan otentikasi Kerberized. Saya percaya server web Omega masih membutuhkan akses yang sama, tetapi sudah terlalu lama dan saya tidak memiliki laboratorium untuk mengujinya dengan cepat. Saya harus menggali ini hari ini dan menulis artikel blog.

Chris S
sumber
Ok, tapi antara DC atau antara komputer anggota dan DC jarak jauh?
Massimo
Maaf, Senin pagi kabut membuat saya menulis "miskin" Jawaban lagi.
Chris S
2
Antara kedua jaringan secara keseluruhan. Berikut adalah artikel yang baik pada Trust dan Trust komunikasi / otentikasi: technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx
joeqwerty
Baik. Bisakah Anda mengonfirmasi bahwa NetBIOS (137-138-139) dan RPC (135+ dinamis) tidak diperlukan agar kepercayaan dapat berfungsi?
Massimo
Juga, jika penerusan DNS diaktifkan antara dua domain, hanya DC yang perlu berbicara tentang DNS (53) di antara mereka sendiri; klien dalam domain A tidak akan perlu secara langsung meminta server DNS untuk domain B, kan?
Massimo