2つの異なるフォレストに2つのActive Directoryドメインがあります。各ドメインには2つのDC(すべてWindows Server 2008 R2)があります。ドメインは、ファイアウォールで接続された異なるネットワークにもあります。
2つのドメインとフォレストの間に双方向のフォレスト信頼を作成する必要があります。
これを許可するようにファイアウォールを構成するにはどうすればよいですか?
私はこの記事を見つけましたが、DC間で必要なトラフィックと、一方のドメインのドメインコンピュータともう一方のドメインのDCとの間で必要なトラフィック(ある場合)については明確に説明していません。
DC間のすべてのトラフィックを許可することは許可されていますが、1つのネットワーク内のコンピューターが他のネットワーク内のDCにアクセスすることを許可するのは少し難しいでしょう。
回答:
ADトラストの最小リストは次のとおりです。
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
TCP専用のKerberosを構成することで、少し締めることができます。
そして、あなたが夢中なら、DNSの代わりにHOSTSファイルを使うことができます。
参考資料:PberのブログとMS KB 179442
上記にアクセスできる必要があるコンピューターについて:信頼されたユーザーの認証を確認するコンピューターは、自身のDCと信頼されたDCの両方に直接接続できる必要があります。
例:Alpha(ドメイン)のBobが、Omega(ドメイン)にあるワークステーションにログインしようとしています。そのワークステーションは、自身のDCをチェックして、関連する信頼情報を取得します。次に、ワークステーションはAlphaからDCに連絡し、ユーザーを確認してログインします。
別の厄介な例:ボブは自分のワークステーションをAlphaドメインで使用しています。Bobは、Omegaドメインで実行されるWebサービスにログインしますが、認証にKerberosを使用しません。OmegaのWebサーバーが認証を行うため、前の例のワークステーションのようにアクセスする必要があります。
私が実際に「答え」を覚えていない最後の1つ-以前とまったく同じですが、Kerberos認証を使用しています。Omega Webサーバーも同じようにアクセスする必要があると思いますが、時間がかかりすぎて、それをすばやくテストできるラボがありません。私は最近のこの1つを掘り下げてブログ記事を書く必要があります。