我有一个远程 Web 服务器(Windows 2008 Web 版)来托管一些应用程序和公司网站。
我们仅使用 RDP 访问此服务器。但我想像在我们的 LAN 中一样访问它,因此我考虑使用永久 VPN 将其添加到我的本地 Windows 2008 域。
这是不是一个好主意?
我担心的是该服务器不能受到最终的域问题的影响。
谢谢。
答案1
我个人不会这么做。我主要担心的是将一台面向公众的机器连接到这样的私人网络。例如,如果有人通过 IIS 漏洞安装了键盘记录器,他们也可以访问域帐户(如果您使用域凭据登录)。
答案2
您可以拥有站点到站点 VPN,而无需将其放在您的域中。将服务器视为 DMZ - 许多大公司都有办法进入它,只允许必要的服务通过它,但也在 DMZ 中设置了 DC 以方便管理。
由于您只有一台服务器,因此具有强密码的本地帐户的维护成本可能较低。
答案3
计算机是否是 Active Directory 域的成员与您如何访问它关系不大。
如果提议的 VPN 连接允许任意流量从 Web 服务器进入受保护网络,我会感到害怕。如果 VPN 解决方案允许您指定流量过滤器,并有状态地允许 LAN 内部的连接访问 Web 服务器(“除非有人跟您说话,否则不要说话...”),那么它就没那么可怕了,但仍然比让 Web 服务器孤立起来要容易得多。
如果便利性确实值得冒这个险,那就去做吧。我猜你可以找到方便的方式来与 Web 服务器交互,而不需要给它提供任何类型的直接通信路径进入 LAN,尽管……(通过 SSL 的 WebDAV 用于文件管理、SFTP 等)。