属于DomainA的客户端计算机ClientA(带有IE),域控制器DCA。
属于DomainB的服务器计算机ServerB(带有IIS),域控制器DCB。
我需要打开以允许客户端A中的用户使用其DomainA凭据登录到ServerB上的IIS中托管的受kerberos保护的Web应用程序的两个域中的计算机之间的最低要求默认端口是什么?
至少ClientA到ServerB TCP 80:)
当ClientA向ServerB:80发出请求时,它会收到一个NEGOTIATE授权标头。然后ClientA在端口88上向DCA发出SPN请求。然后我不知道DCA是否需要联系DCB,或者DCA和DCB是否需要建立某种配置(单向信任?)它们之间以及需要为此打开的端口。
我想ClientA在任何情况下都不需要联系DCB。
让我们想象ClientA已从DCA收到所需的服务令牌。然后它将自己的凭据发送到ServerB。为了解密令牌并弄清楚我是不是自己,ServerB需要联系DCB吗?或ServerB需要联系DCA?我猜不会。
请注意,原则上我没有要求能够从ServerB机器列出DomainA用户。我可以在web.config授权部分手动添加用户。
在我看来,这里列出的端口https://support.microsoft.com/en-us/kb/179442 对我的情况来说太过分了。
编辑: 在阅读了有关该主题的几个信息后,似乎ClientA计算机需要与DCB建立TCP 88(Kerberos)连接。在DomainA和DomainB之间,应该先建立单向信任,这样两个域中就存在TDO对象,因此DCA可以生成DCB要使用的转发票。似乎除了需要使TDO对象同步之外,DCA和DCB之间不需要直接连接。