为了使域信任工作，我需要打开哪些防火墙端口？

Question

我在两个不同的林中有两个域；每个域有两个DC(它们都是Windows 2008 R2)。域也在不同的网络中，有防火墙将它们连接起来。

我需要在两个域和森林之间创建一个双向的森林信任。

如何将防火墙配置为允许这样做？

我找到了这篇文章，但它并没有很清楚地解释DC之间需要哪些通信量，以及需要哪些通信量(如果有的话)，而不是一个域中的域计算机和另一个域的DC之间的通信量。

我被允许允许DC之间的所有通信，但允许一个网络中的计算机访问另一个网络中的DC会稍微困难一些。

Answer 1

AD信任的最低列表是：

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

您只需要为TCP配置Kerberos，就可以稍微收紧一些。

如果你疯了，你可以使用主机文件而不是DNS。

参考文献：普伯的博客和KB 179442

至于哪些计算机需要能够访问上面的内容:验证受信任用户身份验证的计算机必须能够直接联系到它自己的DC和可信DC。

例如:来自Alpha (域)的Bob试图登录到Omega (域)中的工作站。该工作站将与其自己的DC检查，以获得相关的信任信息。然后工作站将联系一个DC从阿尔法，验证用户，并登录。

另一个更棘手的例子: Bob在Alpha域中使用他的工作站。Bob登录到运行在Omega域中的web服务，但不使用Kerberos进行身份验证。Omega中的web服务器将进行身份验证，因此需要像前面示例中的工作站那样进行访问。

最后一个问题我实际上不记得“答案”--与前一个完全相同，但使用的是Kerberized身份验证。我相信Omega的web服务器仍然需要同样的访问，但是它已经太长了，而且我没有一个实验室可以快速地测试它。这几天我应该深入研究一下，写一篇博客文章。