কোনও ডোমেন ট্রাস্টের কাজ করার জন্য আমার কোন ফায়ারওয়াল পোর্টগুলি খোলার দরকার?

8

দুটি পৃথক বনে আমার দুটি সক্রিয় ডিরেক্টরি ডোমেন রয়েছে; প্রতিটি ডোমেনের দুটি ডিসি থাকে (এগুলির সবগুলি উইন্ডোজ সার্ভার ২০০৮ আর 2)। ডোমেনগুলি বিভিন্ন নেটওয়ার্কে রয়েছে, ফায়ারওয়ালগুলি তাদের সংযুক্ত করে।

আমার দুটি ডোমেন এবং অরণ্যের মধ্যে দ্বি-মুখী বনবিস্তার বিশ্বাস তৈরি করতে হবে।

এটির অনুমতি দেওয়ার জন্য আমি কীভাবে ফায়ারওয়ালটি কনফিগার করব?

আমি এই নিবন্ধটি পেয়েছি , তবে এটি খুব স্পষ্টভাবে ব্যাখ্যা করে না যে ডিসিগুলির মধ্যে কোন ট্র্যাফিকের প্রয়োজন হয় এবং একটি ডোমেনের ডোমেন কম্পিউটার এবং অন্যটির জন্য ডিসিগুলির পরিবর্তে কোন ট্র্যাফিক (যদি থাকে) প্রয়োজন হয়।

আমাকে ডিসিগুলির মধ্যে থাকা সমস্ত ট্র্যাফিকের অনুমতি দেওয়ার অনুমতি দেওয়া হয়েছে, তবে একটি নেটওয়ার্কের কম্পিউটারগুলিকে অন্য একটিতে ডিসি অ্যাক্সেস করার অনুমতি দেওয়া কিছুটা আরও কঠিন হবে।

windows-server-2008-r2  firewall  domain-controller  active-directory 
মাসিমো
সূত্র

উত্তর:

9

একটি এডি ট্রাস্টের সর্বনিম্ন তালিকা হ'ল:

53   TCP/UDP  DNS
88   TCP/UDP  Kerberos
389  TCP/UDP  LDAP
445  TCP      SMB
636  TCP      LDAP (SSL)

আপনি কেবল টিসিপি-র জন্য কারবারোস কনফিগার করে কিছুটা শক্ত করতে পারেন।
এবং আপনি যদি ক্রেজি হন তবে আপনি DNS এর পরিবর্তে HOSTS ফাইল ব্যবহার করতে পারেন।

তথ্যসূত্র: পবারের ব্লগ এবং এমএস কেবি 179442

কম্পিউটারগুলির জন্য উপরের অ্যাক্সেসে সক্ষম হওয়া প্রয়োজন: বিশ্বস্ত ব্যবহারকারীর প্রমাণীকরণ যাচাইকরণকারী কম্পিউটার অবশ্যই তার নিজস্ব ডিসি এবং বিশ্বস্ত ডিসি উভয়ের সাথেই সরাসরি যোগাযোগ করতে সক্ষম হতে হবে।

উদাহরণস্বরূপ: আলফা (ডোমেন) থেকে বব ওমেগা (ডোমেন) এ থাকা একটি ওয়ার্কস্টেশনে লগ ইন করার চেষ্টা করছে। সেই ওয়ার্কস্টেশনটি সম্পর্কিত ডিসি সম্পর্কিত তথ্য পেতে তার নিজস্ব ডিসি দিয়ে এটি পরীক্ষা করবে। তারপরে ওয়ার্কস্টেশন আলফা থেকে কোনও ডিসির সাথে যোগাযোগ করবে, ব্যবহারকারীকে যাচাই করবে এবং লগইন করবে।

আরেকটি স্টিকিয়ার উদাহরণ: বব আলফা ডোমেনে তাঁর ওয়ার্কস্টেশনটি ব্যবহার করছেন। বব ওমেগা ডোমেনে চলমান একটি ওয়েব পরিষেবায় লগইন করেছেন, তবে প্রমাণীকরণের জন্য কার্বেরোস ব্যবহার করবেন না । ওমেগায় ওয়েব সার্ভার প্রমাণীকরণ করতে চলেছে, সুতরাং এটি পূর্ববর্তী উদাহরণে ওয়ার্কস্টেশনের মতো অ্যাক্সেসের প্রয়োজন।

শেষেরটি আমি আসলে "উত্তর" মনে করি না - ঠিক আগেরটির মতো, তবে কারবারাইজড প্রমাণীকরণ ব্যবহার করে। আমি বিশ্বাস করি যে ওমেগা ওয়েব সার্ভারটিতে এখনও ঠিক একইরকম অ্যাক্সেসের প্রয়োজন রয়েছে, তবে এটি খুব দীর্ঘ হয়েছে এবং দ্রুত এটি পরীক্ষা করার জন্য আমার কাছে ল্যাব নেই। আমার এই দিনের মধ্যে একটি খনন করা উচিত এবং একটি ব্লগ নিবন্ধ লিখতে হবে।

ক্রিস এস
সূত্র
ঠিক আছে, তবে ডিসিগুলির মধ্যে বা সদস্য কম্পিউটার এবং দূরবর্তী ডিসিগুলির মধ্যে?
ম্যাসিমো
দুঃখিত, সোমবার সকালে হাজে আমাকে আবার "দুর্বল" উত্তর লিখেছে।
ক্রিস এস
2
সামগ্রিকভাবে উভয় নেটওয়ার্কের মধ্যে। এখানে ট্রাস্ট এবং ট্রাস্ট যোগাযোগ / প্রমাণীকরণের জন্য একটি ভাল নিবন্ধ: টেকনিকট.মাইক্রোসফট /en-us/library/cc773178(v=ws.10).aspx
joeqwerty
ভাল. আপনি দয়া করে নিশ্চিত করতে পারেন যে ট্রাস্টটি কাজ করার জন্য নেটবিআইওএস (137-138-139) এবং আরপিসি (135 + ডায়নামিক) প্রয়োজন নেই ?
ম্যাসিমো
এছাড়াও, যদি দুটি ডোমেনের মধ্যে ডিএনএস ফরোয়ার্ডিং সক্ষম করা থাকে তবে কেবল ডিসিদেরই নিজেদের মধ্যে ডিএনএস (53) কথা বলতে হবে; ডোমেন এ এর ​​ক্লায়েন্টদের সরাসরি ডোমেন বি এর জন্য ডিএনএস সার্ভারগুলি সরাসরি জিজ্ঞাসা করার দরকার নেই, তাই না?
ম্যাসিমো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.