您好,在不同网段进行客户端的登陆是没有问题的,确切来说,除非划分子网,进而涉及到划分站点,除此之外,ad并不关心客户端所处的网段。
之所以登陆会遇到问题,就是由于客户端登陆到网域的时候,需要和DC、GC发生验证,查询的动作,这其后的一些通讯所使用到的RPC,可能会随机的使用一些1024以上的端口。而这种情况,在企业内部以及通往Internet的防火墙上,往往是不允许的。这就是导致您遇到这种状况的原因。
关于客户端在登陆验证过程中所使用的端口,有些数据可供参考:
User Login and Authentication
? Microsoft-DS traffic (445/tcp, 445/udp)
? Kerberos authentication protocol (88/tcp, 88/udp)
? Lightweight Directory Access Protocol (LDAP) ping (389/udp)
? Domain Name System (DNS) (53/tcp, 53/udp)
Computer Login and Authentication
A computer logon to a domain controller uses the following:
? Microsoft-DS traffic (445/tcp, 445/udp)
? Kerberos authentication protocol (88/tcp, 88/udp)
? LDAP ping (389/udp)
? DNS (53/tcp, 53/udp)
但这并不意味着,如果dc和client之间如果放置防火墙,仅仅开放上面这些端口就足以让它们可以获得完全正常的通讯,以及完全实现ad的功能特性。
遇到这种情况,需要考虑两个问题:
1、由于dc和client之间的通讯模式是松散的,在win2k3 及之前版本的操作系统上,MS并未设计一种变通的工作方式,可以让dc和client之间的通讯可以局限于一个或者某些端口,并保障它们的通讯安全。在进行企业IT基础架构部署过程中,使用诸如Vlan等技术,人为的将dc与client分隔开,是不妥当的。在Vista及Longhorn的平台上,IPSec与OS之间将获得进一步整合,同时AD上的安全性改进将会允许利用IPSec来保障通讯安全。