國內公司新組建了新一台Active Directory 網域,打算跟香港的AD連接同步用戶好讓兩邊的人共享資源。
過程很簡單,只是有些細微的地方要留意,兩邊的firewall是否已經連通和port 已經放行。有時你弄來弄去都不成功,最後發現原來是firewall未設好! 不要白白浪費時間 。 我公司是用MPLS專線連接所以這方面比較單純,不用費力。
需要預先開放的port。
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
135 TCP Trust endpoint resolution
第一部份 DNS設定
作用是告訴SERVER去那裡找另一方的SERVER 。
- 打開DNS管理器

2. 展開域名,再右鍵Conditional Forwarders, 新增規則

3. 輸入對方域名和IP *此時可能會出現紅X 先不需理會

4. PING 對方域名檢驗是不是通。 留意對方SERVER 是不是有開放PING。

第二部份 建立Active Directory互信關係
AD連接同步用戶和群組
- 打開 Active Directory Domains and Trusts工具。

2. 展開域名,再右鍵Properties

3. 去Trusts分頁,點New Trust


4. 點 Next

5. 輸入另一方的電腦名稱

6. 選擇 Trust wita a Windows domain ,輸入對方AD名

7. 選External trust

8. 選擇Two-way

9. 選擇Both this domain and the specified domain

10. 輸入對方管理員用戶和密碼

11. 選Domain-wide authentication

12. 再選Domain-wide authentication

13. 看看自己AD名和對方名稱是否正確

14. 顯示成功

15. 再次確認對外confirm the outgoing trust.

16. 再次確認輸入

17. 完成設定,建議在另一方的DNS管理器中把本機都加入


ref : https://zh.wikipedia.org/wiki/Active_Directory