我们正在准备部署应用程序的新版本。生产环境将是两个负载平衡的应用服务器,连接到两个数据库服务器(配置为镜像)。现在,在我们办公室进行测试时,我们使用一个应用服务器和一个数据库服务器,大多数身份验证都是使用我们的域控制器完成的,我们发现域身份验证很好,如果可能的话,我们希望在生产中保留它。
当我们投入生产时,我试图弄清楚是否有必要将我的两个应用服务器作为域控制器,以便对 SQL 服务器等的服务的身份验证可以使用域身份验证。
在这种情况下,常见的做法是什么?我应该使用 Active Directory 吗?还是有轻量级的替代品?工作组模式是可接受的方式吗?让我的应用服务器成为域控制器是愚蠢的吗?
答案1
出于安全原因,如果应用层要暴露在互联网上,我不会这么做。如果是这样,它们应该在 DMZ 中,并且不能直接联系您的内部 AD。想象一下,如果它们被破解了,而且是 DC。坏消息,对吧?想象一下,如果它们不是 DC,而是被破解了,并且可以用来直接对域帐户发起攻击。
如果您想要对您的 AD 进行身份验证,最佳做法是使用类似 ADAM 和 AD 复制或某种代理。
如果这是一个仅供内部使用的应用程序且未暴露给网络,那么您可以做任何您想做的事情。
编辑 - 另一条评论。如果您需要域身份验证严格在应用环境中(你的问题在这一点上对我来说不清楚),那么你可以在 DMZ 中设置一个独立的 AD。如果你正在集群 SQL,我认为无论如何你都需要一个域。允许应用层使用该域对 SQL 进行身份验证比允许它连接到你的实际内部 AD 更好。“最佳实践”总是必须与你试图做的事情的利益和风险进行权衡。
答案2
让我的应用服务器成为域控制器是不是很愚蠢?
当然可以。将域控制器直接暴露给互联网绝不是明智之举。您的应用服务器应该查询另一台机器(虚拟或物理)上的 DC。您还应确保服务器和 DC 之间的任何流量都经过加密。