活动目录和防火墙

我对Active Directory不熟悉,对防火墙的知识也非常有限。 我想了解如何“信任”工作。 说有这样的情况:

  1. 有2个独立的networking
  2. network1中的一个域到network2中的另一个域需要外部信任

network1中的域中的用户是否需要首先通过network2中的防火墙? 设置如何工作?

是的,两个networking之间必须允许stream量,但是它需要交换域相关数据的客户端和AD服务器较less。 记得信任是一个密码构造,​​所以它与防火墙没有什么关系。 我build议你使用某种forms的隧道连接(VPN,SSH等)来实现局域网间的通信,因为在互联网上暴露这些连接是有危险的。

如果你正在谈论通过互联网build立信任 – 不要这样做。 使用AD Federated Services这样的东西。

但是我认为你并不是要在整个互联网上build立一个AD信任,而只是谈论穿越你networking上的内部防火墙。

这篇文章准确地阐述了。 查看链接或在新标签页中打开此图片以查看完整大小:

信托

所以基本上你只需要一个成员服务器想要与AD进行身份validation相同的端口。 DC使用相同的端口与另一个DCbuild立信任关系。 Kerberos,LDAP等等

当然你也需要名字parsing。 这通常是通过DomainA中的存根区域或有条件的转发器来处理的,它允许它parsingDomainB。

对于RPC, 可以通过registry限制计算机的dynamicRPC范围 。 如果您不希望在防火墙中为dynamicRPC打开10,000个端口,则至less可以将其限制为几百个dynamic端口。