问题:在一个企业网中,不同DC和要登录它的客户机处于不同网段中,如DC的IP为192.168.1.1、客户机IP为192.168.2.3,客户机通过路由能Ping得通DC,在这种情况下,客户机能将登录域设置为这台DC吗,会成功吗,如果能成功的话,为什么在互联网上办不到!!!
回答:您好,在不同网段进行客户端的登陆是没有问题的,确切来说,除非划分子网,进而涉及到划分站点,除此之外,ad并不关心客户端所处的网段。
之所以登陆会遇到问题,就是由于客户端登陆到网域的时候,需要和DC、GC发生验证,查询的动作,这其后的一些通讯所使用到的RPC,可能会随机的使用一些1024以上的端口。而这种情况,在企业内部以及通往Internet的防火墙上,往往是不允许的。这就是导致您遇到这种状况的原因。
关于客户端在登陆验证过程中所使用的端口,有些数据可供参考:
User Login and Authentication
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• Lightweight Directory Access Protocol (LDAP) ping (389/udp)
• Domain Name System (DNS) (53/tcp, 53/udp)
Computer Login and Authentication
A computer logon to a domain controller uses the following:
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• LDAP ping (389/udp)
• DNS (53/tcp, 53/udp)
但这并不意味着,如果dc和client之间如果放置防火墙,仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯,以及完全实现ad的功能特性。
遇到这种情况,需要考虑两个问题:
1、由于dc和client之间的通讯模式是松散的,在win2k3 及之前版本的操作系统上,MS并未设计一种变通的工作方式,可以让dc和client之间的通讯可以局限于一个或者某些端口,并保障它们的通讯安全。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将dc与client分隔开,是不妥当的。在Vista及Longhorn的平台上,IPSec与OS之间将获得进一步整合,同时AD上的安全性改进将会允许利用IPSec来保障通讯安全。
2、在必须进行分隔的区域之间,如果存在dc与client的通讯,可以在隔离的区域内部署一台或多台dc,让dc跨越隔离区进行dc区域间的复制,而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式,让dc之间的复制局限于某些特定的端口,这就为分隔区域的ad部署提供了弹性设置。
关于dc跨越防火墙进行复制的设置,请参考
[url]http://www.microsoft.com/china/technet/windows2000/win2ksrv/adrepfir.asp[/url]
关于客户端在登陆验证过程中所使用的端口,有些数据可供参考:
User Login and Authentication
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• Lightweight Directory Access Protocol (LDAP) ping (389/udp)
• Domain Name System (DNS) (53/tcp, 53/udp)
Computer Login and Authentication
A computer logon to a domain controller uses the following:
• Microsoft-DS traffic (445/tcp, 445/udp)
• Kerberos authentication protocol (88/tcp, 88/udp)
• LDAP ping (389/udp)
• DNS (53/tcp, 53/udp)
但这并不意味着,如果dc和client之间如果放置防火墙,仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯,以及完全实现ad的功能特性。
遇到这种情况,需要考虑两个问题:
1、由于dc和client之间的通讯模式是松散的,在win2k3 及之前版本的操作系统上,MS并未设计一种变通的工作方式,可以让dc和client之间的通讯可以局限于一个或者某些端口,并保障它们的通讯安全。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将dc与client分隔开,是不妥当的。在Vista及Longhorn的平台上,IPSec与OS之间将获得进一步整合,同时AD上的安全性改进将会允许利用IPSec来保障通讯安全。
2、在必须进行分隔的区域之间,如果存在dc与client的通讯,可以在隔离的区域内部署一台或多台dc,让dc跨越隔离区进行dc区域间的复制,而client在隔离区之内进行本地登陆。MS是允许通过手动设定的方式,让dc之间的复制局限于某些特定的端口,这就为分隔区域的ad部署提供了弹性设置。
关于dc跨越防火墙进行复制的设置,请参考
[url]http://www.microsoft.com/china/technet/windows2000/win2ksrv/adrepfir.asp[/url]
转载于:https://blog.51cto.com/xiong/28050