Como configuro uma confiança unidirecional quando alguns DCs são protegidos por firewalls uns dos outros?

Navegue suas respostas
2

Eu tenho duas florestas do Windows 2008 no modo Win2003 e preciso configurar uma confiança unidirecional entre elas. O botão de validação em Domains And Trusts funciona em uma floresta, mas não na outra.

Acho que isso ocorre porque nem todos os DCs podem ver todos os outros DCs. Não tenho certeza se preciso configurar o arquivo de hosts, por isso fiz isso com company.com no respectivo domínio junto com o DC relevante. (eu preciso de _msdcs _tcp zones etc)

Como configuro uma confiança unidirecional quando alguns DCs são protegidos por firewalls uns dos outros?

    
por random65537 29.03.2012 / 03:23

4 respostas

3

Você só precisa da resolução de DNS para o próprio nome de domínio do AD, não para zonas específicas ou RRs nas zonas. Você precisa isolar o problema para um problema de resolução de nomes (DNS) ou para um problema de comunicação (firewall).

Em vez de usar arquivos host, a configuração recomendada é configurar encaminhadores condicionais para cada domínio nos servidores DNS do domínio oposto (o servidor DNS A no domínio A tem um encaminhador condicional para o servidor DNS B para o domínio B).

De cada domínio, execute nslookup e consulte o outro domínio (domain.tld). O Nslookup deve retornar os endereços IP IPv4 e IPv6 para os servidores DNS desse domínio (que provavelmente também são os DCs desse domínio, a menos que você tenha separado a função DNS dos DCs). Se o nslookup funcionar, então a resolução do DNS está OK e você deve olhar para o firewall como o provável culpado.

    
por 29.03.2012 / 03:55
5

Você está um pouco incerto, mas os DCs precisam ser capazes de se comunicar para que haja uma confiança. Configure uma VPN se for necessário.

Você também menciona algo sobre o arquivo hosts. Não faça isso, é ruim. Use um encaminhador de DNS condicional para o domínio de destino.

    
por 29.03.2012 / 03:54
1

Seu firewall precisará permitir o tráfego LDAP e DNS entre os controladores de domínio em cada floresta. Você precisará de pelo menos 1, mas 2 seria melhor para redundância. Você não precisa criar uma regra de firewall para todos os controladores de domínio.

LDAP: 389, 636 (SSL) Pesquisas do Catálogo Global LDAP: 3268, 3269 (SSL) DNS: 53

Você também desejará configurar encaminhadores condicionais em cada domínio. Em um Servidor DC / DNS na Floresta A, crie um encaminhador condicional para Floresta B apontando para 1 ou 2 servidores DNS na floresta B. Em seguida, na Floresta B, crie um encaminhador condicional para a Floresta A que aponte para 1 ou 2 servidores DNS em Floresta A.

    
por 29.03.2012 / 18:53
0

Usamos conexões IPSEC entre nossos DCs quando eles têm zonas de rede semelhantes a DMZ entre eles. Fazemos isso apenas para tornar a base de regras da nossa equipe de comunicação menor e mais fácil de gerenciar - uma porta se encaixa em muitos.

O benefício do IPsec é que isso permite que todo o tráfego destinado um ao outro (independentemente da porta e tipo de origem) seja encerrado.

Assim, o tráfego relacionado a DNS, relações de confiança etc. funciona bem.

    
por 01.05.2013 / 16:06

Tags

Procurando recomendações sobre como avaliar a substituição do servidor local com o novo servidor ou ir para a nuvem Expressão Regular para “AND”?