就安全性和可管理性而言——最佳实践是什么?
网络服务器应该
- 添加到 Active Directory 域并从中进行管理
或者
- 成为与‘资源服务器’活动目录分开的‘Web 服务器’工作组的一部分?
不需要在网络服务器上有用户帐户,只需要管理帐户(服务器管理、系统报告、内容部署等)。
答案1
如果您想使用 Kerberos 委派来构建安全的基础架构(您确实会这样做),则需要将这些 Web 服务器加入域。Web 服务器(或服务帐户)需要分配委派功能,以便允许用户模拟您的 SQL 服务器。
如果您有任何审计或法定要求来跟踪数据访问(HIPAA,SOX等),您可能希望避免在 SQL 服务器上使用基于 SQL 的身份验证。您应该通过您的配置流程跟踪访问(即谁在哪个组中,如何批准以及由谁批准)并且所有数据访问都应该通过用户分配的帐户进行。
为了与访问 AD 相关的 DMZ 问题,您可以使用 Server 2008 中的只读 DC (RODC) 解决部分问题,但部署到 DMZ 中仍然存在风险。还有一些方法可以强制 DC 使用特定端口来穿透防火墙,但这种类型的自定义可能会使解决身份验证问题变得困难。
如果您有特定需求,允许 Internet 和 Intranet 用户访问同一个应用程序,您可能需要考虑使用 Federeated Services 产品之一,可以是 Microsoft 提供的产品,也可以是 Ping Federated 之类的产品。
答案2
绝对可以内部使用。这样,它们就可以通过 GPO 进行管理,修补就不那么困难了,而且无需一堆变通方法就可以完成监控。
在 DMZ 中,一般来说我建议不要,它们不应该在 DMZ 上。如果它们在域上和 DMZ 中,您遇到的问题是 Web 服务器必须具有与至少一个 DC 的某些连接。因此,如果外部攻击者破坏了 Web 服务器,他或她现在可以直接对其中一个 DC 发起攻击。拥有 DC,拥有域。拥有域,拥有森林。
答案3
为什么不在 DMZ 中设立 Web 服务器的域?
它可能是一个具有单向信任关系的独立林,用于从主域管理该域,而无需向 WS 域授予主域的任何权限。
AD/WSUS/GPO 的所有乐趣 - 如果您拥有一整个农场,则特别有用 - 并且如果它受到损害,它就不是您的主网络。
答案4
正如其他人提到的,如果这些是面向公众的并且不需要根据目录对用户进行身份验证,那么请执行不是将它们放入域中。
但是,如果您需要某种身份验证或从 AD 查找信息,则可能需要考虑运行 Active Directory 应用程序模式(亚当) 位于 DMZ 中。您可能需要将相关信息从 AD 复制到应用程序分区,因为 ADAM 不会同步标准 AD 分区。
但是,如果您只是寻找管理功能,ADAM 并不适用。