面向公众的 Active Directory 存在哪些问题和缺陷

面向公众的 Active Directory 存在哪些问题和缺陷

我面临的情况是这样的:我们计划使用托管在 Amazon EC2 机器上的多个服务器应用程序,主要是 Microsoft Team Foundation Server。这些服务严重依赖 Active Directory。由于我们的服务器位于 Amazon 云中,因此不言而喻(但我会说),我们所有的用户都是远程的。

似乎我们无法在我们的 EC2 实例上设置 VPN——因此用户必须直接通过互联网加入域,然后他们才能够进行身份验证,并且一旦通过身份验证,就可以使用该令牌访问 TFS 等资源。

在 DC 实例上,我可以关闭所有端口,除了加入/验证域所需的端口。我还可以过滤该机器上的 IP,只保留我们预期用户所在的地址(这是一个小群体)

在基于 Web 的应用服务器上,我想我们需要打开的只是端口 80(或者在 TFS 的情况下是 8080)

我面临的问题之一是要为这个 Active Directory 使用什么域名。我应该使用“ourDomainName.com”还是“OurDomainName.local”?如果我选择后者,这是否意味着我必须让所有用户更改他们的 DNS 地址以指向我们的服务器,以便它可以解析域名(我想我也可以分发主机文件)

也许还有另一种我完全没有意识到的选择。

答案1

您有两个相互正交的顾虑。

关于命名 - 我永远不会用您的二级域名(即“OurDomainName.com”)来命名 Active Directory 域名。这一直是宗教争论的主题,您可以在以下网址阅读:

我不会使用“.local”(尽管微软会使用——由于 ZeroConf 协议,“.local”有与之相关的“负担”)。

就我个人而言,我使用约定“ad.domain.com”。假设您将“ad”子域的 DNS 委托给在 DC 上运行的 DNS 服务器,则可以将您的 AD 命名空间与面向公众的 DNS 命名空间共存而不会出现问题。

关于安全性 - 您可能需要考虑在您的 DC(如果不是所有域成员计算机)上使用 IPSEC 策略来验证和加密客户端计算机和 DC 之间的通信。最初加入域会有些困难,但并非不可能。如果您的客户端基于 Windows 7,您可能可以利用新的离线域加入功能使这变得更容易。

相关内容