Requisitos de conectividade de rede para a floresta do Active Directory

Navegue suas respostas
2

Temos a floresta do Active Directory de vários domínios com alguns trusts externos. Digamos que tenhamos domínio raiz da floresta chamado company.com e alguns domínios filhos nessa floresta - subsidiária1.com , subsidiária2.com e < em> subsidiária3.com . Estamos criando regras de firewall que restringirão a comunicação aos controladores de domínio de company.com das redes de subsidiárias.

Existe algum artigo da Microsoft que descreva a conectividade de rede necessária (portas abertas em firewalls) entre estações de trabalho / servidores membros e controladores de domínio de outros domínios da mesma floresta, necessária para a operação adequada da própria infraestrutura do AD? Algumas informações sobre este tópico estão aqui: Como configurar um firewall para domínios e relações de confiança
Como funcionam os domínios e os conflitos florestais

No entanto, esses artigos não respondem à minha pergunta - o acesso aos controladores de domínio do domínio raiz da floresta de todas as estações de trabalho (e servidores membros) de todos os domínios da floresta é necessário?
Eu sei que praticamente a maioria das coisas (exceto, por exemplo, autenticação de domínio de estações de trabalho MacOS) está funcionando bem se os DCs do domínio raiz da floresta (assim como todos os outros domínios, exceto o domínio onde o usuário e o computador residem) não estão acessíveis nas estações de trabalho, mas gostaria de ver qualquer informação oficial da Microsoft ou ouvir opiniões de administradores que têm uma longa experiência na execução de tais configurações.

    
por DavisNT 08.06.2012 / 14:47

3 respostas

5

Não - os clientes precisam apenas de acesso aos controladores de domínio de seus domínios. Os DCs precisam ser capazes de falar, mas podem ser roteados por meio de DCs de bridgehead, portanto, não há necessidade de portas abertas entre todos os participantes.

Você deve examinar a distribuição do seu servidor de catálogo global para garantir que os clientes tenham acesso aos dados de outros domínios de que precisam para funcionar.

Há muito o que saber sobre o AD em grandes ambientes. Eu começaria aqui: link

e considere uma cópia deste livro do AD :

    
por 08.06.2012 / 14:59
3

Algumas agências do governo dos EUA têm um domínio raiz da floresta pai acessível somente por meio de uma conexão IPSEC dos controladores de domínio designados da ponte. Não há conectividade ip entre domínios filho ou até mesmo do domínio filho para o domínio raiz da floresta. Isso é perfeitamente aceitável.

    
por 08.06.2012 / 15:51
0

Há dois cenários que conheço nos quais os clientes em um domínio filho precisam acessar os DCs em um domínio pai:

  1. Autenticação perfeita de Kerberos de contas do domínio cliente contra recursos no domínio pai (embora a autenticação possa funcionar sem esse acesso)
  2. ADBA (Ativação Baseada no Active Directory) - como acabei de aprender da equipe do MS Directory Services. O ADBA é configurado uma vez por floresta, mas é servido somente por DCs no domínio raiz >: (
por 10.08.2017 / 15:58

Tags

Linux Redhat “Screen” não desanexará ssh: Nenhuma rota para hospedar