我们在 AD 域上拥有一个服务器和计算机网络。其中一台服务器运行基于 PHP 的管理系统 (ERP),我们希望它可以通过互联网访问。我说的互联网不是指谷歌或其他任何东西,而是指我们网站子域的开放端口。明确地说,我并不担心 ERP 本身 (PHP 登录等) 的安全性,而是担心它是否应该与网络分离。我读过很多文章说您不应该在 AD 域上拥有公共服务器,但是除了物理访问之外,还有哪些管理它的选项?即使我们在 AD 上拥有它,我们也无法在 DMZ 上拥有它。我们确实考虑过 VPN,但它对用户来说有点麻烦,尽管它可能是我们的唯一的选择。希望我说得有道理,因为我有点不知道应该如何设置它。
谢谢。
答案1
如果软件支持的话,您可以安装第二个 NIC 并使服务器实现多宿主。
您的 AD 域面临的风险取决于凭据是否用于登录该服务器。如果是,则它们存在风险,您可能希望使用仅对该框具有权限的帐户进行管理。
是的,如果您没有注意到,拥有它的人可能会带来进一步的风险,但只要您没有以域管理员等身份登录,它就不会立即危及整个域。
但从长远来看,最好获取额外的网络设备并配置 DMZ,将其与内部网络分开,并且只向 AD 或其他任何内部设备开放绝对需要的端口。