國內公司新組建了新一台Active Directory 網域,打算跟香港的AD連接同步用戶好讓兩邊的人共享資源。
過程很簡單,只是有些細微的地方要留意,兩邊的firewall是否已經連通和port 已經放行。有時你弄來弄去都不成功,最後發現原來是firewall未設好! 不要白白浪費時間 。 我公司是用MPLS專線連接所以這方面比較單純,不用費力。
需要預先開放的port。
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
135 TCP Trust endpoint resolution
第一部份 DNS設定
作用是告訴SERVER去那裡找另一方的SERVER 。
- 打開DNS管理器
2. 展開域名,再右鍵Conditional Forwarders, 新增規則
3. 輸入對方域名和IP *此時可能會出現紅X 先不需理會
4. PING 對方域名檢驗是不是通。 留意對方SERVER 是不是有開放PING。
第二部份 建立Active Directory互信關係
AD連接同步用戶和群組
- 打開 Active Directory Domains and Trusts工具。
2. 展開域名,再右鍵Properties
3. 去Trusts分頁,點New Trust
4. 點 Next
5. 輸入另一方的電腦名稱
6. 選擇 Trust wita a Windows domain ,輸入對方AD名
7. 選External trust
8. 選擇Two-way
9. 選擇Both this domain and the specified domain
10. 輸入對方管理員用戶和密碼
11. 選Domain-wide authentication
12. 再選Domain-wide authentication
13. 看看自己AD名和對方名稱是否正確
14. 顯示成功
15. 再次確認對外confirm the outgoing trust.
16. 再次確認輸入
17. 完成設定,建議在另一方的DNS管理器中把本機都加入
ref : https://zh.wikipedia.org/wiki/Active_Directory