Quali porte firewall devo aprire per far funzionare un trust di dominio?

8

Ho due domini di Active Directory in due foreste diverse; ogni dominio ha due controller di dominio (tutti Windows Server 2008 R2). I domini si trovano anche in reti diverse, con un firewall che li collega.

Devo creare un trust forestale bidirezionale tra i due domini e forest.

Come configuro il firewall per consentire ciò?

Ho trovato questo articolo , ma non spiega molto chiaramente quale traffico è richiesto tra controller di dominio e quale traffico (se presente) è necessario invece tra computer di dominio in un dominio e controller di dominio per l'altro.

Sono autorizzato a consentire tutto il traffico tra i controller di dominio, ma consentire ai computer di una rete di accedere ai controller di dominio nell'altra sarebbe un po 'più difficile.

windows-server-2008-r2  firewall  domain-controller  active-directory 
Massimo
fonte

Risposte:

9

L'elenco minimo per un trust AD è:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

Puoi restringerlo un po 'configurando Kerberos solo per TCP.
E se sei pazzo potresti usare i file HOSTS invece del DNS.

Riferimenti: Blog di Pber e MS KB 179442

Per quanto riguarda i computer che devono poter accedere a quanto sopra: Il computer che verifica l'autenticazione dell'utente attendibile deve essere in grado di contattare direttamente sia il proprio controller di dominio che il controller di dominio trusted.

Ad esempio: Bob di Alpha (dominio) sta tentando di accedere a una workstation che si trova in Omega (dominio). Tale workstation verificherà con i propri controller di dominio per ottenere le informazioni di attendibilità pertinenti. Quindi la workstation contatterà un controller di dominio Alpha, verificherà l'utente e accederà.

Un altro esempio più evidente: Bob sta usando la sua workstation nel dominio Alpha. Bob accede a un servizio Web in esecuzione sul dominio Omega, ma non utilizza Kerberos per l'autenticazione. Il server Web in Omega eseguirà l'autenticazione, quindi ha bisogno dell'accesso come la workstation nell'esempio precedente.

L'ultima a cui in realtà non ricordo la "risposta" - esattamente come la precedente, ma usando l'autenticazione Kerberized. Credo che il server Omega abbia ancora bisogno di accedere allo stesso modo, ma è passato troppo tempo e non ho un laboratorio per testarlo rapidamente. Dovrei scavare in uno di questi giorni e scrivere un articolo sul blog.

Chris S
fonte
Ok, ma tra controller di dominio o tra computer membri e controller di dominio remoti?
Massimo
Scusa, lunedì mattina foschia mi fa scrivere di nuovo risposte "povere".
Chris S,
2
Tra le due reti nel loro insieme. Ecco un buon articolo sulla comunicazione / autenticazione di Trust and Trust: technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx
joeqwerty
Buona. Potete per favore confermare che NetBIOS (137-138-139) e RPC (135 + dinamico) non sono necessari per far funzionare la fiducia?
Massimo
Inoltre, se l'inoltro DNS è abilitato tra i due domini, solo i controller di dominio dovranno comunicare DNS (53) tra di loro; i client nel dominio A non avranno alcuna necessità di interrogare direttamente i server DNS per il dominio B, giusto?
Massimo
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.