我希望在这里得到一些关于网站托管查询的建议。我们正在构建一个电子商务网站,该网站基本上驻留在 2 个 Web 服务器上(由负载平衡器前置),并与 SQL2008 集群交互。
在与网络托管公司打交道时,有些公司试图向我们出售一个额外的盒子,用作域控制器。他们声称这是更好的设计。当然,成本也会相应上涨。
我想更好地理解这一点——从安全角度来看,DC 是否为我们提供更好的支持。如果我们没有这个,我们会面临失去什么的风险?
答案1
从安全设计和维护的角度来看,将所有框放在 AD 域中肯定具有优势:简化的用户和服务帐户管理、组策略支持、集中权限、所有组件之间的安全通信,以及可能我忽略的更多内容。
但是,它也增加了所有事务的开销——所有事务都需要通过域控制器进行身份验证。
最后,您必须权衡额外 DC 的增加成本与管理和安全优势。
答案2
严格地说,除非你使用的是 Windows NT4 域控制器,否则不存在配电板再也没有了。
添加域控制器不会提高安全性,尽管它会使身份验证稍微容易一些,但如果您必须添加域控制器(出于其他原因),无论如何都不要将其暴露在互联网上,而应将其放在单独的服务器上。FWIW 在安装 Active Directory 时,至少有两个域控制器也是标准做法,否则灾难恢复可能会很“有趣”。
根据您问题中的信息,我建议您避免添加 DC,事实上,我建议您尽量避免添加 DC。
您可能还需要考虑许可问题。我不知道这是您还是托管公司应该负责的事情,但如果您当前正在使用 Web 版服务器,则需要将其升级到标准版才能将 AD 安装到现有服务器,这也意味着您可能需要购买外部连接器许可证或足够的 CAL 供您的用户使用。但是,如果您使用单独的域控制器,这将不是问题。
答案3
如果不需要对从一台服务器到另一台服务器的不同上下文(即用户)中的大量不同连接进行身份验证,那么我建议虽然域设计可能是纸面上最纯粹的选择,但对于你在这里所做的事情来说,它可能并不是真正需要的。
我也同意您已经发表的意见 - 特别是以下意见:如果您确实有 DC,它应该是一个单独的盒子(不同的虚拟机也可以),不暴露在互联网上,如果您有一个 DC,那么出于冗余目的,最好有两个 DC。此时,简单且相对便宜的在线存在变得更加复杂和昂贵,如果您不会做任何可以利用 AD 优势的事情,这也很难证明其合理性。
你可能会考虑的一件事是,服务器数量和这些服务器之间交互的复杂性就是成长;显然,一个领域确实会达到一个有意义的程度,并且从正确的设计开始要比中途改变容易得多。