ドメインの信頼を機能させるには、どのファイアウォールポートを開く必要がありますか?
2つの異なるフォレストに2つのActive Directoryドメインがあります。各ドメインには2つのDCがあります(すべてWindows Server 2008 R2)。ドメインはまた、それらを接続するファイアウォールによって、異なるネットワークにあります。
2つのドメインとフォレストの間に双方向のフォレスト信頼を作成する必要があります。
これを許可するようにファイアウォールを構成するにはどうすればよいですか?
私は この記事 を見つけましたが、DC間で必要なトラフィックと、一方のドメインのドメインコンピュータと他方のドメインのDCとの間で必要なトラフィック(存在する場合)が明確に説明されていません。
DC間のすべてのトラフィックを許可することは許可されていますが、1つのネットワーク内のコンピューターが他のネットワーク内のDCにアクセスすることを許可するのは少し難しいでしょう。
ADトラストの最小リストは次のとおりです。
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
KerberosをTCP=のみに設定することで、少し強化できます。
そして、もし狂っていれば、DNSの代わりにHOSTSファイルを使うことができます。
参照: Pber's Blog および MS KB 179442
上記にアクセスできる必要があるコンピューターについて:信頼されたユーザーの認証を確認するコンピューターは、自身のDCと信頼されたDCの両方に直接アクセスできる必要があります。
例:Alpha(ドメイン)のBobが、Omega(ドメイン)にあるワークステーションにログインしようとしています。そのワークステーションは、自身のDCをチェックして、関連する信頼情報を取得します。次に、ワークステーションはDC Alphaから連絡し、ユーザーを確認して、ログインします。
もう1つの厄介な例:ボブは自分のワークステーションをAlphaドメインで使用しています。 Bobは、Omegaドメインで実行されるWebサービスにログインしますが、認証にKerberosを使用しません。 OmegaのWebサーバーが認証を行うため、前の例のワークステーションのようにアクセスする必要があります。
私が実際に「答え」を覚えていない最後の1つ-以前とまったく同じですが、Kerberos認証を使用しています。 Omega Webサーバーも同じようにアクセスする必要があると思いますが、時間がかかりすぎて、すぐにテストできるラボがありません。私はこれらの日のこれを掘り下げて、ブログ記事を書くべきです。