¿Qué puertos de firewall debo abrir para que funcione una confianza de dominio?

8

Tengo dos dominios de Active Directory en dos bosques diferentes; cada dominio tiene dos DC (todos ellos Windows Server 2008 R2). Los dominios también están en diferentes redes, con un firewall que los conecta.

Necesito crear una confianza forestal bidireccional entre los dos dominios y el bosque.

¿Cómo configuro el firewall para permitir esto?

Encontré este artículo , pero no explica muy claramente qué tráfico se requiere entre los DC y qué tráfico (si lo hay) es necesario en su lugar entre las computadoras de dominio en un dominio y los DC para el otro.

Se me permite permitir todo el tráfico entre los DC, pero permitir que las computadoras en una red accedan a los DC en la otra sería un poco más difícil.

windows-server-2008-r2 firewall domain-controller active-directory Massimo
fuente

Respuestas:

9

La lista mínima para un AD Trust es:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

Puede ajustarlo un poco configurando Kerberos solo para TCP.
Y si estás loco, puedes usar archivos HOSTS en lugar de DNS.

Referencias: Blog de Pber y MS KB 179442

En cuanto a qué computadoras necesitan poder acceder a lo anterior: La computadora que verifica la autenticación del usuario confiable debe poder contactar directamente tanto con su propio DC como con el DC de confianza.

Por ejemplo: Bob de Alpha (dominio) está intentando iniciar sesión en una estación de trabajo que está en Omega (dominio). Esa estación de trabajo verificará con sus propios DC para obtener la información de confianza relevante. Luego, la estación de trabajo se comunicará con un DC de Alpha, verificará al usuario e iniciará sesión.

Otro ejemplo más difícil: Bob está usando su estación de trabajo en el dominio Alfa. Bob inicia sesión en un servicio web que se ejecuta en el dominio Omega, pero no utiliza Kerberos para autenticarse. El servidor web en Omega va a hacer la autenticación, por lo que necesita acceso como la estación de trabajo en el ejemplo anterior.

La última a la que no recuerdo la "respuesta", exactamente igual que la anterior, pero usando la autenticación Kerberizada. Creo que el servidor web Omega todavía necesita acceso de todos modos, pero ha pasado demasiado tiempo y no tengo un laboratorio para probarlo rápidamente. Debería profundizar en este uno de estos días y escribir un artículo de blog.

Chris S
fuente
Ok, pero entre DC o entre computadoras miembro y DC remotas?
Massimo
Lo siento, la bruma del lunes por la mañana me tiene escribiendo respuestas "pobres" nuevamente.
Chris S
2
Entre ambas redes en su conjunto. Aquí hay un buen artículo sobre la comunicación / autenticación de Trusts and Trust: technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx
joeqwerty
Bueno. ¿Puede confirmar que NetBIOS (137-138-139) y RPC (135 + dinámico) no son necesarios para que la confianza funcione?
Massimo
Además, si el reenvío de DNS está habilitado entre los dos dominios, solo los DC necesitarán hablar DNS (53) entre ellos; los clientes en el dominio A no tendrán necesidad de consultar directamente a los servidores DNS para el dominio B, ¿verdad?
Massimo