Answers:
AD信任关系的最小列表为:
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
您可以通过仅将Kerberos配置为TCP来稍微加强一点。
而且,如果您发疯了,可以使用HOSTS文件而不是DNS。
关于哪些计算机需要能够访问上述内容:验证受信任用户身份验证的计算机必须能够直接联系其自己的DC和受信任的DC。
例如:来自Alpha(域)的Bob正在尝试登录Omega(域)中的工作站。该工作站将检查自己的DC以获取相关的信任信息。然后,工作站将联系Alpha的DC,验证用户并登录。
另一个比较棘手的示例:Bob正在Alpha域中使用他的工作站。Bob登录到运行在Omega域上但未使用Kerberos进行身份验证的Web服务。Omega中的Web服务器将执行身份验证,因此它需要像上一个示例中的工作站一样进行访问。
最后一个我实际上并不记得对它的“答案”,就像上一个一样,但是使用了Kerberized身份验证。我相信Omega Web服务器仍然需要相同的访问权限,但是时间太长了,我没有实验室可以快速对其进行测试。我应该深入研究这几天,并写一篇博客文章。