如何在网络上放置域控制器?

如何在网络上放置域控制器?

尽管这个话题听起来很愚蠢,但我们确实有理由制作一个可通过网络访问的小型网络程序,该程序使用 ASP.NET 并从 Active Directory 读取数据(这不是我们的内部 AD,只是一个模型),我们希望使这个 ASP.NET 网站可在网络上访问,所以我的问题是您将如何廉价而安全地做到这一点?

PS:由于我们还不知道谁将访问该程序,因此无法使用 vpn。

来自 ISP 的虚拟服务器可以安装 AD/IIS 等吗?

谢谢斯科特

答案1

我不会把 DC 放在网络上,而是安装慢性失常无论是在 Web 服务器还是另一台服务器上,如果需要的话,可以从本地只读 DC 或通过 WAN 复制到我的正常基础设施

答案2

您是说您只需要一个 AD 服务器,还是您有一个需要读取的特定 AD 安装?如果只是 AD 服务器,那么为什么要使用 AD 而不是某种 SQL 数据库呢?

我几乎想建议在设定的时间自动将 AD 记录转储到给定位置,然后将结果上传到网络外部的另一台服务器,这样您就可以最大限度地减少受到攻击的风险并清理数据,以便您只获得您需要的信息(也许除了密码)。

否则,您必须打开防火墙端口以允许访问,因为 AD 服务器很可能需要与网络内的其他 AD 服务器同步。

让事情变得更加困难的是,你说你不能使用 vpn,因为你不知道谁在访问它。在这种情况下,我们可能必须更多地了解你概述的场景(比如为什么你不能使用数据库的想法,为什么具体是 AD),因为对我来说,这意味着不是你的企业/公司将它与你的企业/公司的 AD 基础设施一起使用,所以你可能能够通过改变数据的存储方式而逃脱惩罚。具体需要什么数据?它是否可以通过自动转储到文件并传输来进行中介?

我对任何必须将内部网络元素(尤其是业务登录和 AD 等内部信息)暴露到互联网上的想法都持谨慎态度。

答案3

将其放入,添加 RRAS NAT - 指向外部,反向映射您使用的 IP 和端口。

结果?只有应用程序可以访问 ;) 加上远程桌面。AD 已退出。

但是你为什么要安装 AD 呢?这不是一个示例 - 如果你不使用便宜的 SPLA 许可证,那么你几乎要花费一大笔钱。

相关内容