Active林的网络连接要求
我们有几个外部信任的多域林。假设我们有名为company.com的森林根域,以及该森林中的几个子域-subtuary1.com、subtuary2.com和subtuary3.com。我们正在创建防火墙规则,这将限制来自子公司网络的company.com域控制器的通信。
Microsoft是否有文章描述AD基础设施本身的正常运行所需的工作站/成员服务器和其他域域的域控制器之间所需的网络连接(防火墙中打开的端口)?关于这一主题的一些信息如下:
如何为域和信任配置防火墙
域和森林信任是如何工作的
然而,这些文章没有回答我的问题--是否需要从所有森林域的所有工作站(和成员服务器)访问森林根域的域控制器?
我知道,实际上大多数事情(除了来自MacOS工作站的域身份验证)工作正常,如果来自林根域的DC(以及所有其他域,除了用户和计算机所在的域)无法从工作站访问,但我想查看Microsoft的任何官方信息,或者听取具有长期运行此类配置经验的管理员的意见。
回答 3
Server Fault用户
发布于 2012-06-08 12:59:18
没有-客户只需要访问域控制器为他们的域。区议会需要能够交谈,但可以通过桥头区议会进行路由,因此不需要在所有参与者之间开放端口。
您应该查看您的全局编录服务器发行版,以确保客户端能够访问他们所需的其他域的数据。
在大型环境中,有很多关于AD的知识需要了解。我从这里开始:http://technet.microsoft.com/en-us/library/dd578336(v=ws.10)
并考虑一下这个广告簿的副本:
Server Fault用户
发布于 2012-06-08 13:51:04
一些美国政府机构有一个父林根域,只能通过指定桥头域控制器的IPSEC连接访问。子域之间甚至从子域到林根域之间都没有ip连接。这是完全可以接受的。
Server Fault用户
发布于 2017-08-10 13:58:13
我知道有两种情况下,子域中的客户端需要访问父域中的DC:
- 针对父域中的资源对客户端域中的帐户进行无缝Kerberos身份验证(尽管身份验证可以在没有这种访问的情况下工作)
- ADBA (Active Directory -)--正如我刚刚从MS目录服务团队那里学到的。每个林中配置一次ADBA,但仅从根域中的DC中获得以下服务:(
https://serverfault.com/questions/396885
复制相似问题
腾讯云开发者
