두 개의 서로 다른 포리스트에 두 개의 Active Directory 도메인이 있습니다. 각 도메인에는 2 개의 DC가 있습니다 (모두 Windows Server 2008 R2). 도메인은 서로 다른 네트워크에 있으며 방화벽이 연결되어 있습니다.
두 도메인과 포리스트간에 양방향 포리스트 트러스트를 만들어야합니다.
이것을 허용하도록 방화벽을 어떻게 구성합니까?
이 기사를 찾았 지만 한 도메인의 도메인 컴퓨터와 다른 도메인의 DC 사이에 DC간에 필요한 트래픽과 필요한 트래픽 (있는 경우)이 명확하게 설명되어 있지 않습니다.
DC 간의 모든 트래픽을 허용 할 수 있지만 한 네트워크의 컴퓨터가 다른 네트워크의 DC에 액세스하도록 허용하는 것은 조금 더 어려울 수 있습니다.
답변:
AD 트러스트의 최소 목록은 다음과 같습니다.
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
TCP 전용 Kerberos를 구성하여 조금 강화할 수 있습니다.
그리고 미쳤다면 DNS 대신 HOSTS 파일을 사용할 수 있습니다.
참고 자료 : Pber의 블로그 및 MS KB 179442
어떤 컴퓨터에서 위의 내용에 액세스 할 수 있는지 : 신뢰할 수있는 사용자의 인증을 확인하는 컴퓨터는 자신의 DC와 신뢰할 수있는 DC에 직접 연결할 수 있어야합니다.
예 : Alpha (도메인)의 Bob이 Omega (도메인)에있는 워크 스테이션에 로그인하려고합니다. 해당 워크 스테이션은 자체 신뢰 정보를 얻기 위해 자체 DC를 확인합니다. 그런 다음 워크 스테이션은 Alpha의 DC에 연결하고 사용자를 확인한 후 로그인합니다.
또 다른 문제는 Bob이 자신의 워크 스테이션을 Alpha 도메인에서 사용하고 있다는 것입니다. Bob은 Omega 도메인에서 실행되는 웹 서비스에 로그인하지만 Kerberos를 사용하여 인증 하지는 않습니다 . Omega의 웹 서버는 인증을 수행하므로 이전 예제의 워크 스테이션과 같은 액세스 권한이 필요합니다.
마지막은 실제로 "답변"을 기억하지 못합니다. 이전과 똑같지 만 Kerberized 인증을 사용합니다. 오메가 웹 서버는 여전히 똑같은 액세스가 필요하다고 생각하지만 너무 길어서 빨리 테스트 할 실험실이 없습니다. 요즘이 중 하나를 파고 블로그 기사를 작성해야합니다.