Минимальный список для доверия AD:
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
Вы можете немного улучшить это, настроив Kerberos только для TCP.
И если вы сошли с ума, вы можете использовать файлы HOSTS вместо DNS.
Ссылки: Блог Пбера и MS KB 179442
Что касается того, какие компьютеры должны иметь доступ к вышеперечисленному: Компьютер, проверяющий аутентификацию доверенного пользователя, должен иметь возможность напрямую связываться как со своим собственным DC, так и с доверенным DC.
Например: Боб из Alpha (домен) пытается войти на рабочую станцию, которая находится в Omega (домен). Эта рабочая станция проверит свои собственные контроллеры домена, чтобы получить соответствующую информацию о доверии. Затем рабочая станция свяжется с DC от Alpha, проверит пользователя и войдет в систему.
Другой пример: Боб использует свою рабочую станцию в домене Alpha. Боб входит в веб-сервис, который работает в домене Omega, но не использует Kerberos для аутентификации. Веб-сервер в Omega будет выполнять аутентификацию, поэтому ему необходим доступ, как и к рабочей станции в предыдущем примере.
Последнее, что я на самом деле не помню «ответ» - точно так же, как предыдущий, но с использованием Kerberized аутентификации. Я полагаю, что веб-серверу Omega все еще нужен доступ, но он слишком длинный, и у меня нет лаборатории, чтобы быстро это проверить. Я должен покопаться в этом на днях и написать статью в блоге.
