活动目录是可以跨网段的
2011-08-26 09:51
211 查看
活动目录是可以跨网段的|活动目录端口?问题:在一个企业网中,不同DC和要登录它的客户机处于不同网段中,如DC的IP为192.168.1.1、客户机IP为192.168.2.3,客户机通过路由能Ping得通DC,在这种情况下,客户机能将登录域设置为这台DC吗,会成功吗,如果能成功的话,为什么在互联网上办不到!!!
回答:您好,在不同网段进行客户端的登陆是没有问题的,确切来说,除非划分子网,进而涉及到划分站点,除此之外,ad并不关心客户端所处的网段。
之所以登陆会遇到问题,就是由于客户端登陆到网域的时候,需要和DC、GC发生验证,查询的动作,这其后的一些通讯所使用到的RPC,可能会随机的使用一些1024以上的端口。而这种情况,在企业内部以及通往Internet的防火墙上,往往是不允许的。这就是导致您遇到这种状况的原因。
关于客户端在登陆验证过程中所使用的端口,有些数据可供参考:
User Login and Authentication
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• Lightweight Directory Access Protocol (LDAP) ping (389/udp)
• Domain Name System (DNS) (53/tcp, 53/udp)
Computer Login and Authentication
A computer logon to a domain controller uses the following:
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• LDAP ping (389/udp)
• DNS (53/tcp, 53/udp)
但这并不意味着,如果dc和client之间如果放置防火墙,仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯,以及完全实现ad的功能特性。
遇到这种情况,需要考虑两个问题:
1、由于dc和client之间的通讯模式是松散的,在win2k3 及之前版本的操作系统上,MS并未设计一种变通的工作方式,可以让dc和client之间的通讯可以局限于一个或者某些端口,并保障它们的通讯安全。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将dc与client分隔开,是不妥当的。在Vista及Longhorn的平台上,IPSec与OS之间将获得进一步整合,同时AD上的安全性改进将会允许利用IPSec来保障通讯安全。
2、在必须进行分隔的区域之间,如果存在dc与client的通讯,可以在隔离的区域内部署一台或多台dc,让dc跨越隔离区进行dc区域间的复制,而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式,让dc之间的复制局限于某些特定的端口,这就为分隔区域的ad部署提供了弹性设置。
关于dc跨越防火墙进行复制的设置,请参考
http://www.microsoft.com/china/technet/windows2000/win2ksrv/adrepfir.asp
域控制器端口的相关文章请参考
分支域控制器端口设置
域控制器端口
主域控制器与辅域控制器通讯端口
活动目录是可以跨网段的
---gnaw0725
回答:您好,在不同网段进行客户端的登陆是没有问题的,确切来说,除非划分子网,进而涉及到划分站点,除此之外,ad并不关心客户端所处的网段。
之所以登陆会遇到问题,就是由于客户端登陆到网域的时候,需要和DC、GC发生验证,查询的动作,这其后的一些通讯所使用到的RPC,可能会随机的使用一些1024以上的端口。而这种情况,在企业内部以及通往Internet的防火墙上,往往是不允许的。这就是导致您遇到这种状况的原因。
关于客户端在登陆验证过程中所使用的端口,有些数据可供参考:
User Login and Authentication
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• Lightweight Directory Access Protocol (LDAP) ping (389/udp)
• Domain Name System (DNS) (53/tcp, 53/udp)
Computer Login and Authentication
A computer logon to a domain controller uses the following:
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• LDAP ping (389/udp)
• DNS (53/tcp, 53/udp)
但这并不意味着,如果dc和client之间如果放置防火墙,仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯,以及完全实现ad的功能特性。
遇到这种情况,需要考虑两个问题:
1、由于dc和client之间的通讯模式是松散的,在win2k3 及之前版本的操作系统上,MS并未设计一种变通的工作方式,可以让dc和client之间的通讯可以局限于一个或者某些端口,并保障它们的通讯安全。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将dc与client分隔开,是不妥当的。在Vista及Longhorn的平台上,IPSec与OS之间将获得进一步整合,同时AD上的安全性改进将会允许利用IPSec来保障通讯安全。
2、在必须进行分隔的区域之间,如果存在dc与client的通讯,可以在隔离的区域内部署一台或多台dc,让dc跨越隔离区进行dc区域间的复制,而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式,让dc之间的复制局限于某些特定的端口,这就为分隔区域的ad部署提供了弹性设置。
关于dc跨越防火墙进行复制的设置,请参考
http://www.microsoft.com/china/technet/windows2000/win2ksrv/adrepfir.asp
域控制器端口的相关文章请参考
分支域控制器端口设置
域控制器端口
主域控制器与辅域控制器通讯端口
活动目录是可以跨网段的
---gnaw0725
相关文章推荐
- 活动目录是可以跨网段的|活动目录端口
- 活动目录是可以跨网段的
- 刚刚注意到,windows的资源管理器,把zip文件直接当成文件夹的形式,可以直接展开目录层次,感觉很强大啊
- 单域单站点单主机活动目录和Exchange灾难恢复实践测试(三)Active Directory恢复
- 单域单站点单主机活动目录和Exchange灾难恢复实践测试(五)Exchange邮件恢复
- 在IIS建立的ftp,可以成功连接登录,但是不显示目录
- 遇到adv目录下的图片在网页不显示问题的可以进来看看
- 实现宿主机(win7)和VMware Ubuntu1404 虚拟机 设置同一网段并且同时可以上网 方法
- 活动目录系列之十:活动目录数据库的维护 推荐
- 活动目录实战之六 使用ADMT 3.2迁移用户和计算机
- 游戏中的答题活动也可以通过远程代答么?
- Windows Server 2012 R2 Active Directory(活动目录)实验一
- windows 2003活动目录之应用篇
- 活动目录5个角色
- Windows Server 2008 R2之六活动目录域服务的卸载
- [4月8日的脚本] 显示活动目录(AD)中被删除的对象 (PowerShell)
- 域概述(活动目录)
- sharepoint 2013 修改某些显示名,email和活动目录不一致的账户
- 在两个不同域中的WINDOWS 2003活动目录做迁移笔记