Quais portas de firewall eu preciso abrir para que uma confiança de domínio funcione?

8

Eu tenho dois domínios do Active Directory em duas florestas diferentes; cada domínio possui dois controladores de domínio (todos eles Windows Server 2008 R2). Os domínios também estão em redes diferentes, com um firewall conectando-os.

Preciso criar uma confiança de floresta bidirecional entre os dois domínios e a floresta.

Como faço para configurar o firewall para permitir isso?

Encontrei este artigo , mas ele não explica muito claramente qual tráfego é necessário entre controladores de domínio e qual (se houver) tráfego necessário entre os computadores de domínio em um domínio e os controladores de domínio para o outro.

Tenho permissão para permitir todo o tráfego entre os controladores de domínio, mas permitir que computadores em uma rede acessem controladores de domínio na outra seria um pouco mais difícil.

windows-server-2008-r2 firewall domain-controller active-directory Massimo
fonte

Respostas:

9

A lista mínima para um AD Trust é:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

Você pode reforçar um pouco isso configurando o Kerberos apenas para TCP.
E se você é louco, pode usar arquivos HOSTS em vez de DNS.

Referências: Blog do Pber e MS KB 179442

Quanto aos computadores que precisam acessar o acima: O computador que verifica a autenticação do usuário confiável deve poder entrar em contato diretamente com seu próprio controlador de domínio e o controlador de domínio confiável.

Por exemplo: Bob de Alpha (domínio) está tentando fazer login em uma estação de trabalho que esteja em Omega (domínio). Essa estação de trabalho verificará com seus próprios CDs para obter as informações de confiança relevantes. Em seguida, a estação de trabalho entrará em contato com um controlador de domínio alfa, verificará o usuário e fará o login.

Outro exemplo mais óbvio: Bob está usando sua estação de trabalho no domínio Alpha. Bob efetua login em um serviço da Web que é executado no domínio Omega, mas não usa o Kerberos para autenticar. O servidor da Web no Omega fará a autenticação, portanto, ele precisa de acesso como a estação de trabalho no exemplo anterior.

A última, na verdade, não me lembro da "resposta" - exatamente como a anterior, mas usando a autenticação Kerberizada. Acredito que o servidor da Web Omega ainda precise acessar da mesma forma, mas faz muito tempo e não tenho um laboratório para testá-lo rapidamente. Eu deveria cavar este dia e escrever um artigo no blog.

Chris S
fonte
Ok, mas entre controladores de domínio ou entre computadores membros e controladores remotos?
Massimo
Desculpe, a neblina de segunda-feira de manhã me fez escrever Respostas "ruins" novamente.
Chris S
2
Entre as duas redes como um todo. Aqui está um bom artigo sobre relações de confiança e confiança de comunicação / autenticação: technet.microsoft.com/en-us/library/cc773178(v=ws.10).aspx
joeqwerty
Boa. Você pode confirmar que o NetBIOS (137-138-139) e o RPC (135 + dinâmico) não são necessários para que a confiança funcione?
Massimo
Além disso, se o encaminhamento de DNS estiver habilitado entre os dois domínios, apenas os DCs precisarão falar DNS (53) entre si; os clientes no domínio A não precisam consultar diretamente os servidores DNS do domínio B, certo?
Massimo