Как я настраиваю один путь доверие, когда некоторый DCS является firewalled прочь друг от друга?
Та версия OpenSSL была выпущена в 2004. Поэтому это кажется, что необходимо обновлять больше, чем просто OpenSSL, поскольку Debian больше не выпускает обновления системы защиты ни для какой версии Debian, более старого, чем затем текущий выпуск 'lenny'.
Разрешение DNS необходимо только для самого имени домена AD, а не для определенных зон или RR в зонах. Вы должны изолировать проблему либо от проблемы разрешения имен (DNS), либо от проблемы связи (брандмауэр).
Вместо использования файлов хоста рекомендуется настроить условные серверы пересылки для каждого домена в DNS противоположного домена. серверы (DNS serverA в domainA имеет условную пересылку на DNS serverB для domainB).
Из каждого домена запустите nslookup и запросите другой домен (domain.tld). Nslookup должен возвращать IP-адреса IPv4 и IPv6 для DNS-серверов для этого домена (которые, вероятно, также являются DC для этого домена, если вы не разделили роль DNS с DC).
Ваш брандмауэр должен разрешать трафик LDAP и DNS между контроллерами домена в каждом лесу. Вам понадобится как минимум 1, но 2 лучше всего для избыточности. Вам не нужно создавать правило брандмауэра для каждого контроллера домена.
LDAP: 389, 636 (SSL) Поиск в глобальном каталоге LDAP: 3268, 3269 (SSL) DNS: 53
Вы также захотите настроить серверы условной пересылки в каждом домене. На DC / DNS-сервере в лесу A создайте сервер условной пересылки для леса B, указывающий на 1 или 2 DNS-сервера в лесу B. Затем в лесу B создайте сервер условной пересылки для леса A, который указывает на 1 или 2 DNS-сервера в лесу. Форест А.
Вы немного неясны, но контроллеры домена должны иметь возможность общаться, чтобы возникло доверие. Если нужно, настройте VPN.
Вы также упомянули кое-что о файле hosts. Не делай этого, это плохо. Вместо этого используйте условный сервер пересылки DNS на целевой домен.
Мы используем соединения IPSEC между нашими контроллерами домена, когда между ними есть сетевые зоны типа DMZ. Мы делаем это исключительно для того, чтобы сделать базу правил для нашей команды связи меньше и проще в управлении - один порт по сравнению со многими.
Преимущество IPsec в том, что он позволяет весь трафик направлять друг другу (независимо от порта источника и типа ), чтобы завершить работу.
Так что DNS, трасты и т. д. связанный трафик работают нормально.