Quels ports de pare-feu dois-je ouvrir pour qu'une approbation de domaine fonctionne?

8

J'ai deux domaines Active Directory dans deux forêts différentes; chaque domaine a deux contrôleurs de domaine (tous Windows Server 2008 R2). Les domaines se trouvent également dans différents réseaux, avec un pare-feu les connectant.

J'ai besoin de créer une approbation de forêt bidirectionnelle entre les deux domaines et la forêt.

Comment configurer le pare-feu pour autoriser cela?

J'ai trouvé cet article , mais il n'explique pas très clairement quel trafic est requis entre les contrôleurs de domaine et quel trafic (le cas échéant) est nécessaire à la place entre les ordinateurs de domaine dans un domaine et les contrôleurs de domaine pour l'autre.

Je suis autorisé à autoriser tout le trafic entre les contrôleurs de domaine, mais autoriser les ordinateurs d'un réseau à accéder aux contrôleurs de domaine de l'autre serait un peu plus difficile.

Massimo
la source

Réponses:

9

La liste minimale pour une approbation AD est:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

Vous pouvez resserrer un peu cela en configurant Kerberos pour TCP uniquement.
Et si vous êtes fou, vous pouvez utiliser des fichiers HOSTS au lieu de DNS.

Références: Blog de Pber et MS KB 179442


En ce qui concerne les ordinateurs qui doivent pouvoir accéder à ce qui précède: L'ordinateur vérifiant l'authentification de l'utilisateur de confiance doit pouvoir contacter directement à la fois son propre DC et le DC de confiance.

Par exemple: Bob d'Alpha (domaine) essaie de se connecter à un poste de travail qui est en Omega (domaine). Ce poste de travail vérifiera avec ses propres contrôleurs de domaine pour obtenir les informations de confiance pertinentes. Ensuite, la station de travail contactera un DC d'Alpha, vérifiera l'utilisateur et se connectera.

Un autre exemple plus éloquent: Bob utilise son poste de travail dans le domaine Alpha. Bob se connecte à un service Web qui s'exécute sur le domaine Omega, mais n'utilise pas Kerberos pour s'authentifier. Le serveur Web dans Omega va faire l'authentification, il a donc besoin d'un accès comme le poste de travail dans l'exemple précédent.

La dernière à laquelle je ne me souviens pas vraiment de la "réponse" - exactement comme la précédente, mais en utilisant l'authentification Kerberized. Je crois que le serveur Web Omega a toujours besoin d'un accès identique, mais cela fait trop longtemps et je n'ai pas de laboratoire pour le tester rapidement. Je devrais creuser dans celui-ci de ces jours et écrire un article de blog.

Chris S
la source
D'accord, mais entre les contrôleurs de domaine ou entre les ordinateurs membres et les contrôleurs de domaine distants?
Massimo
Désolé, la brume du lundi matin me fait écrire à nouveau des réponses "pauvres".
Chris S
2
Entre les deux réseaux dans leur ensemble. Voici un bon article sur les approbations et la communication / authentification des approbations
joeqwerty
Bien. Pouvez-vous s'il vous plaît confirmer que NetBIOS (137-138-139) et RPC (135 + dynamique) ne sont pas nécessaires pour que la confiance fonctionne?
Massimo
De plus, si le transfert DNS est activé entre les deux domaines, seuls les contrôleurs de domaine auront besoin de parler DNS (53) entre eux; les clients du domaine A n'auront pas besoin d'interroger directement les serveurs DNS pour le domaine B, n'est-ce pas?
Massimo