我们正在使用 Server 2008R2 IIS 7.5,后端有一个 SQL 数据库。目前,系统运行良好,在负载平衡场中配置了三台服务器,同时将数据传回 SQL DB。
所有这些服务器都在自己的子网上独立运行,并具有通用的管理员用户名和密码。
将一台服务器设为 PDC 并创建自己的域并将其余的记忆服务器加入到该域中有什么好处吗?
或者如果它没有坏就不要修理它?
答案1
我一直将我的农场置于某种中央身份验证设置软件中,无论是 AD 还是 LDAP。我这样做的原因是为了便于管理服务/访问帐户。如果您将来需要下移该部分,您也可以将其用作 SSO 系统的一部分。
基本上我很懒,我只想去一个地方设置 Auth 帐户,对我来说,将它们作为独立服务器是一种管理员的负担,而且很麻烦。
我说这样做,但请确保您有 2 个 AD 控制器,每个控制器都设置为全局目录服务,因为如果您有一个 AD 控制器并且它死了,那么您最终将陷入痛苦的世界,我知道这已经发生在我身上(这是 2K3 广告中的情况,不确定 2K8 中是否也会这样)。
答案2
根据给出的简要信息得出的一些基本想法......
听起来您正在使用某些人所谓的直通身份验证(通过使用通用管理员帐户),确实有效,如果您没有遇到问题,那么我同意 - 没有损坏的东西不一定需要修复。
但是,您依赖于这样的解决方案,即 MS 不会对安全性进行调整来阻止这种类型的解决方案,并且依赖于您的密码始终保持同步。
您提到了 SQL。由于您运行的方式,您机器上的所有身份验证实际上都是 NTLM,这要求每个请求都进行身份验证。在低端,这并不明显,但随着站点规模扩大和交易水平提高,我预计您会开始看到站点吞吐量出现细微瓶颈。
在域中可以缓解这两种情况。第一点很明显。对于第二点,在域中可以使用(我可能会自动添加)kerberos 身份验证,其中给定用户的身份验证以“票证”的形式提供,持续时间为几分钟(甚至更长)。对于大量使用 SQL 的应用程序(就像我的应用程序一样)来说,差异简直是天壤之别。