Welche Firewall-Ports muss ich öffnen, damit eine Domänenvertrauensstellung funktioniert?

8

Ich habe zwei Active Directory-Domänen in zwei verschiedenen Gesamtstrukturen. Jede Domäne verfügt über zwei Domänencontroller (alle Windows Server 2008 R2). Die Domänen befinden sich auch in verschiedenen Netzwerken, die von einer Firewall verbunden werden.

Ich muss eine bidirektionale Gesamtstrukturvertrauensstellung zwischen den beiden Domänen und der Gesamtstruktur erstellen.

Wie konfiguriere ich die Firewall, um dies zuzulassen?

Ich habe diesen Artikel gefunden , aber er erklärt nicht sehr deutlich, welcher Datenverkehr zwischen Domänencontrollern erforderlich ist und welcher Datenverkehr (falls vorhanden) stattdessen zwischen Domänencomputern in einer Domäne und Domänencontrollern für die andere Domäne benötigt wird.

Ich darf den gesamten Datenverkehr zwischen den Domänencontrollern zulassen, aber es wäre etwas schwieriger, Computern in einem Netzwerk den Zugriff auf Domänencontroller in dem anderen Netzwerk zu ermöglichen.

windows-server-2008-r2 firewall domain-controller active-directory Massimo
quelle

Antworten:

9

Die Mindestliste für eine AD-Vertrauensstellung lautet:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

Sie können dies etwas verschärfen, indem Sie Kerberos nur für TCP konfigurieren.
Und wenn Sie verrückt sind, können Sie HOSTS-Dateien anstelle von DNS verwenden.

Referenzen: Pber's Blog und MS KB 179442

Welche Computer müssen auf Folgendes zugreifen können: Der Computer, der die Authentifizierung des vertrauenswürdigen Benutzers überprüft, muss in der Lage sein, sowohl seinen eigenen Domänencontroller als auch den vertrauenswürdigen Domänencontroller direkt zu kontaktieren.

Beispiel: Bob von Alpha (Domäne) versucht, sich bei einer Workstation in Omega (Domäne) anzumelden. Diese Workstation überprüft mit ihren eigenen Domänencontrollern die relevanten Vertrauensinformationen. Anschließend kontaktiert die Workstation einen DC von Alpha, überprüft den Benutzer und meldet sich an.

Ein weiteres Beispiel: Bob verwendet seine Workstation in der Alpha-Domäne. Bob meldet sich bei einem Webdienst an, der in der Omega-Domäne ausgeführt wird, Kerberos jedoch nicht zur Authentifizierung verwendet. Der Webserver in Omega führt die Authentifizierung durch und benötigt daher Zugriff wie die Workstation im vorherigen Beispiel.

Die letzte, an die ich mich nicht wirklich an die "Antwort" erinnere - genau wie die vorherige, aber mit kerberisierter Authentifizierung. Ich glaube, der Omega-Webserver benötigt immer noch Zugriff, aber es ist zu lange her und ich habe kein Labor, um das schnell zu testen. Ich sollte mich eines Tages damit beschäftigen und einen Blog-Artikel schreiben.

Chris S.
quelle
Ok, aber zwischen DCs oder zwischen Mitgliedscomputern und Remote-DCs?
Massimo
Entschuldigung, am Montagmorgen habe ich wieder "schlechte" Antworten geschrieben.
Chris S
2
Zwischen beiden Netzwerken als Ganzes. Hier ist ein guter Artikel über Trusts und Trust-Kommunikation / Authentifizierung: technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx
joeqwerty
Gut. Können Sie bitte bestätigen, dass NetBIOS (137-138-139) und RPC (135 + dynamisch) nicht benötigt werden, damit das Vertrauen funktioniert?
Massimo
Wenn die DNS-Weiterleitung zwischen den beiden Domänen aktiviert ist, müssen nur die Domänencontroller DNS (53) untereinander kommunizieren. Clients in Domäne A müssen DNS-Server nicht direkt nach Domäne B abfragen, oder?
Massimo