ActiveDirectoryフォレストのネットワーク接続要件
いくつかの外部信頼を持つマルチドメインActiveDirectoryフォレストがあります。 company.comという名前のフォレストルートドメインと、そのフォレスト内にいくつかの子ドメインがあるとします-subsidiary1.com 、subsidiary2.comおよびsubsidiary3.com。子会社のネットワークからcompany.comのドメインコントローラーへの通信を制限するファイアウォールルールを作成しています。
ワークステーション/メンバーサーバーと、ADインフラストラクチャ自体の適切な運用に必要な同じフォレストの他のドメインのドメインコントローラーとの間に必要なネットワーク接続(ファイアウォールで開かれたポート)について説明しているMicrosoftの記事はありますか?このトピックに関するいくつかの情報はここにあります:
ドメインと信頼のためにファイアウォールを構成する方法
ドメインとフォレストの信頼のしくみ
ただし、これらの記事は私の質問に答えていません-すべてのフォレストドメインのすべてのワークステーション(およびメンバーサーバー)からフォレストルートドメインのドメインコントローラーへのアクセスが必要ですか?
フォレストルートドメイン(およびユーザーとコンピューターが存在するドメインを除く他のすべてのドメイン)のDCにアクセスできない場合、実質的にほとんどのもの(MacOSワークステーションからのドメイン認証を除く)が正常に機能していることを知っています。ワークステーションからですが、マイクロソフトからの公式情報を確認するか、そのような構成の実行に長い経験を持つ管理者の意見を聞きたいと思います。
いいえ-クライアントは、ドメインのドメインコントローラーにアクセスするだけで済みます。 DCは通信できる必要がありますが、ブリッジヘッドDCを介してルーティングできるため、すべての参加者間でポートを開く必要はありません。
グローバルカタログサーバーのディストリビューションを調べて、クライアントが機能するために必要な他のドメインのデータにアクセスできることを確認する必要があります。
大規模な環境でのADについて知っておくべきことがたくさんあります。ここから始めます: http://technet.Microsoft.com/en-us/library/dd578336(v = ws.10)
そしてこれのコピーを考えてください AD本 :
一部の米国政府機関には、指定されたブリッジヘッドドメインコントローラーからIPSEC接続を介してのみアクセスできる親フォレストルートドメインがあります。子ドメイン間、または子ドメインからフォレストルートドメインへのIP接続はありません。これは完全に受け入れられます。
子ドメインのクライアントが親ドメインのDCにアクセスする必要があることを私が知っている2つのシナリオがあります。
- 親ドメイン内のリソースに対するクライアントドメインからのアカウントのシームレスなKerberos認証(ただし、認証canそのアクセスなしで機能します)
- ADBA(Active Directoryベースのアクティベーション)-MS DirectoryServicesチームから学んだばかりです。 ADBAはフォレストごとに1回構成されますが、ルートドメインのDCからのみ提供されます> :(