管理 DMZ 中 Windows 服务器的用户帐户的最佳方法是什么?我们正在扩展我们的网络业务,并将多个 IIS 服务器添加到我们的 DMZ。我不希望管理一堆本地帐户,或者另一方面,将我们的内部 Active Directory 服务器直接暴露给 DMZ。是否有解决此问题的标准方法?
答案1
Microsoft 的 Active Directory 团队发布了一份指南,其中包含在 DMZ 中运行 AD 的最佳实践。
外围网络中的 Active Directory 域服务 (Windows Server 2008)
本指南涵盖了外围网络的以下 AD 模型:
- 没有 Active Directory(本地帐户)
- 孤立森林模型
- 扩展的企业森林模型
- 森林信任模型
本指南包含确定 Active Directory 域服务 (AD DS) 是否适合您的外围网络(也称为 DMZ 或 Extranet)的指导、在外围网络中部署 AD DS 的各种模型以及外围网络中只读域控制器 (RODC) 的规划和部署信息。由于 RODC 为外围网络提供了新功能,因此本指南中的大部分内容介绍了如何规划和部署此新的 Windows Server 2008 功能。但是,本指南中介绍的其他 Active Directory 模型也是您外围网络的可行解决方案。
答案2
您可以为 DMZ 创建单独的 AD,并真正锁定 DMZ 中的域控制器。这样,您就有两个位置来维护帐户,并且您可以更进一步建立信任,以便您可以使用内部 AD 帐户登录 DMZ AD。
答案3
这取决于您打算如何管理用户。
如果用户已经在内部存在,我的方法是使用现有的 AD 结构。
如果只是有 10 个 IIS 箱,并且它们都需要相同的用户帐户访问权限,那么就在 DMZ 内建立一个单独的 AD 结构。
如果用户帐户只需要存在于每个框中,那么本地帐户将是最好的方法。
和所有事情一样,暴露是为了安全而付出的代价。但正确配置的防火墙不会让您的 AD 面临重大风险,只需将您的 IIS 框加入域即可。