我们目前正在将服务器迁移到 Azure。截至目前,我们已经成功迁移了 Web 服务器 (IIS) 和数据库服务器 (SQL Server)。明年,我们公司将把域控制器扩展到云中,并在本地和 Azure 之间进行同步。
但是,是否可以稍后将 2 个虚拟机加入活动目录而不会遇到一些冲突?我知道在普通桌面上这可能会很麻烦,因为您需要切换配置文件等。你们是否看到我们可能遇到的任何问题,或者我们应该尽快尝试加入服务器?
提前致谢!
答案1
太长了
因此,这更像是一个安全性答案,而不是兼容性答案。
关于兼容性的简要概述是,如果您依赖 AD 用户身份验证,那么它就会中断,但如果您使用 SQL 用户和匿名/某种特定于站点的本地 Web 身份验证,那么您可以随时加入。
从安全方面来看,集中化可以减少人为错误、技术债务、攻击面,并提高可见性、易用性和安全性。
安全
如果您有服务器,将它们加入中央管理系统对于简化管理、集中身份和可听性非常重要。
中央标识
拥有身份孤岛是一种安全风险,因为当员工离职时,您将需要在每个孤岛上手动循环/禁用凭据,这会增加停机风险(非目标凭据的意外轮换)、忘记轮换(错过孤岛)等。
如果您遭到黑客攻击,坏人可以驻扎在单个孤岛上并从那里发起攻击。当坏人控制了更多孤岛后,将攻击者从众多身份提供商中驱逐出去就会变得更加困难。您实际上必须进入每台机器,并将它们作为单独的系统分别进行调查。这是一个非常困难的过程,坏人可以利用调查和补救所需的时间来重新控制被驱逐的系统。
身份集中化对于组织来说至关重要。
审计
审计(收集系统日志)系统的能力也是一个非常重要的安全因素。如果没有中央管理系统,这一关键的安全步骤将非常困难。如果
无法查看系统上正在发生的事情,您将无法有效地保护系统,因为您无法看到坏人正在做什么。您无法驱逐他们,甚至无法在计算机上看到他们。这在行业中实际上非常糟糕,以至于组织平均需要 1 年时间才能发现他们已被入侵,并且已经向OWASP 十大榜单。
管理
从可管理性方面来看,配置错误是一个巨大的安全风险。它们是如此糟糕,以至于OWASP 十大榜单。为了降低配置错误的风险,集中配置管理至关重要。它降低了人为配置所需设置时出错或设置永远无法设置的可能性。中央配置管理系统还可以更轻松地将命令推送到端点以补救妥协。良好的管理引擎还可以生成审计数据(日志记录),以便更好地了解您的环境中正在发生的事情。
兼容性
需要注意的主要事项是身份验证系统,如果您使用 Windows Server AD 进行身份验证,则可能会遇到问题,如果您使用 SQL 本地用户(不安全),那么兼容性方面应该没有问题。
只要您要加入计算机的命名空间可用,并且您的 GPO 不与所需的 Web 服务器和 DB 设置冲突,您就应该没问题。由于环境知识有限,很难找到极端情况。一般来说,您应该可以开始了。
潜在的边缘情况:
如果您的 Web 应用程序中有 FQDN,加入您机器的域可能会更改其 FQDN。