Que portas de firewall eu preciso abrir para que uma confiança de domínio funcione?

8

Eu tenho dois domínios do Active Directory em duas florestas diferentes; cada domínio tem dois DCs (todos eles Windows Server 2008 R2). Os domínios também estão em redes diferentes, com um firewall conectando-os.

Eu preciso criar uma confiança de floresta bidirecional entre os dois domínios e a floresta.

Como configuro o firewall para permitir isso?

Eu encontrei este artigo , mas ele não explica muito claramente qual tráfego é necessário entre os DCs e qual tráfego (se houver) é necessário, em vez disso, entre os computadores do domínio em um domínio e os DCs para o outro.

Tenho permissão para permitir todo o tráfego entre os DCs, mas permitir que os computadores em uma rede acessem os DCs no outro seria um pouco mais difícil.

    
por Massimo 08.10.2012 / 14:46

1 resposta

9

A lista mínima para uma confiança AD é:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

Você pode aumentar um pouco isso configurando o Kerberos somente para TCP.
E se você é louco, você pode usar arquivos HOSTS em vez de DNS.

Referências: Blog da Pber e MS KB 179442

Quanto aos computadores que precisam acessar os itens acima: O computador que está verificando a autenticação do usuário confiável deve poder contatar diretamente seu próprio DC e o Trusted DC.

Por exemplo: Bob de Alpha (domínio) está tentando fazer login em uma estação de trabalho que está no Omega (domínio). Essa estação de trabalho verificará com seus próprios DCs para obter as informações de confiança relevantes. Em seguida, a estação de trabalho entrará em contato com um controlador de domínio da Alpha, verificará o usuário e fará o login.

Outro exemplo mais interessante: Bob está usando sua estação de trabalho no domínio Alpha. Bob registra em um serviço da web que é executado no domínio do Omega, mas não usa o Kerberos para autenticar. O servidor web no Omega vai fazer a autenticação, então ele precisa acessar como a estação de trabalho no exemplo anterior.

O último que eu não lembro a "resposta" para - exatamente como o anterior, mas usando a autenticação Kerberized. Acredito que o servidor web Omega ainda precise de acesso da mesma forma, mas ele é muito longo e eu não tenho um laboratório para testar isso rapidamente. Eu deveria me aprofundar em um desses dias e escrever um artigo no blog.

    
por 08.10.2012 / 15:11