我在不同的网络主机上有三个远程专用网络服务器。将它们添加到一个公共域将使许多管理任务变得容易得多。由于其中两台服务器运行的是 Windows 2008 R2 Standard,我考虑将它们升级为域控制器,以便设置 Windows 域。Serverfault 上的另一个帖子推荐这个。
同时,我多次在不同网站上看到有人说这不是一个好主意,因为域控制器应该始终位于防火墙 LAN 后面。但我无法设置这样的设置,因为我没有一个具有可从互联网访问的静态 IP 的 LAN。事实上,我的 LAN 中甚至没有 Windows 服务器。
我还没有发现的是为什么将 DC 暴露到互联网上并不是一个好主意。
我能看到的唯一风险是,如果有人入侵了我的一个网络服务器,那么入侵其他网络服务器应该会容易得多。但据我所知,这是最糟糕的情况,因为我只将我的网络服务器连接到该域,而不是本地网络中的任何计算机。
这是唯一的缺点吗?还是说这也会让我的某台网络服务器更容易被入侵?
编辑:如果我向 DC 添加防火墙规则,以便仅当来自其他两个 Web 服务器时才接受到 AD 服务器的传入连接,结果会怎样?我的意思是类似于以下描述的设置http://support.microsoft.com/kb/555381/en-us但需要附加基于 ip 的规则来确保 DC 只能由我域中相关端口上的其他 Web 服务器访问。
答案1
你向网络开放的东西越多,某些恶意的东西或某些人进入你的网络并做坏事的可能性就越大。我个人喜欢不开放太多东西的政策。如果你想让其他网络看到你的 DC,我建议你通过某种 VPN 设备远程桥接你的网络。我相信如果你有一个不错的路由器,你可以设置它。我从未尝试过,但我会先看看 pfsense。
答案2
Doc 已经介绍了将攻击面保持在最低限度的关键点,因此我不再重复。至于为什么不应将 DC 暴露在 Internet 上,DC 包含各种不应向公众公开的信息。根据设计,任何人都可以查询 DC。即使没有直接危及 DC 本身,只要拥有有效用户帐户列表,攻击者就可以抢占先机,因此问题最后一部分的答案肯定是肯定的。