Наличие контроллера домена в той же сети как беспроводной маршрутизатор
Рассмотрите установку open_basedir на "на сайт" основание. open_basedir установка php.ini, которая будет препятствовать тому, чтобы Ваши сценарии получили доступ к файлам за пределами определенного белого списка. Если Ваш сервер разместит несколько сайтов, то он будет препятствовать тому, чтобы один сайт читал настройки базы данных из другого сайта. Это будет также препятствовать тому, чтобы сценарий PHP получил доступ/изменил к базовым системным файлам. Открытый basedir легко настроить, просто добавить строку"php_admin_value open_basedir /my/list/of/folders:/as/a/colon/seperated/list"к каждому Apache vhost.
Также рассмотрите выключение механизма Сценария PHP для всех сайтов/папок, которые не должны содержать Сценарии PHP (например, папка загруженных изображений). Снова, это просто, добавьте "php_admin_value механизм прочь" к любому Apache VirtualHosts, не нуждающемуся php. Для отключения PHP в каталоге поместите то же самое в тег Каталога.
Выполненные полномочия файла, максимально трудные, избегайте доступа для записи к Сценариям PHP для пользователя Apache, это препятствует тому, чтобы под управлением сценарий изменил себя или другие сценарии на том же сайте/сервере. Избегайте 777 полномочий, если вообще возможный, выясните минимальные полномочия, требуемые запустить приложение и использовать их.
При хостинге нескольких сайтов, каждого с их собственной базой данных, используйте отдельного пользователя MySQL/пост-ГРЭС для каждого и установите полномочия на каждом пользователе, таким образом, что у них только есть доступ к соответствующим базам данных. Снова это будет препятствовать тому, чтобы сценарий жулика вмешался в базу данных другого приложения.
Suosin, HardenedPHP, mod_security и т.п. являются всей ценностью также, но используют их в дополнение к плотно заблокированный вниз конфигурация, не вместо.
Ответ ErikA был корректен, но не учел ключевую роль, которая была, почему у Вас не было доступа в Интернет при реализации его. Так как рассматриваемый маршрутизатор между контроллером домена и Интернетом, контроллер домена должен указать на тот маршрутизатор как шлюз по умолчанию. Тем не менее предполагая, что активные directory/dhcp/dns все настроены правильно на сервере, вот то, что должно быть сделано.
- Дайте маршрутизатору статический IP-адрес в сети.
- Выключите DNS/DHCP на маршрутизаторе. Если бы маршрутизатор имеет режим точки доступа, который был бы оптимален.
- Имейте точку контроллера домена к IP-адресу маршрутизатора как шлюз по умолчанию.
-
1Я говорил с нашим сетевым администратором здесь вчера, и это точно, что он сказал..., и это работает отлично. – Steven Evers 10 November 2009 в 20:04
Я предполагаю, что Вам настроили беспроводной маршрутизатор все еще как маршрутизатор. Необходимо выключить dhcp на том устройстве и затем просто подключить его к остальной части сети через один из ее портов коммутатора. Это превратит его в беспроводной мост (вместо маршрутизатора). После выполнения этого беспроводные клиенты получат свою информацию DHCP от Вашего 2k3 сервер и не должны иметь никаких проблем возможности соединения.
** Редактирование после OP добавило дополнительную информацию:
Это теперь походит на проблему DNS. В домене AD клиенты используют DNS для определения местоположения контроллеров домена. Из того, что это звучит, Вам теперь выключили DHCP на сервере и включенный на Вашем маршрутизаторе. Это прекрасно - просто необходимо удостовериться, что опции DHCP настраиваются право.
Так как Ваш маршрутизатор обеспечивает Ваш NAT/доступ в Интернет, необходимо удостовериться, что он устанавливает свой собственный IP-адрес как шлюз по умолчанию. Я предполагаю, что это уже делает это, поскольку большинство маршрутизаторов на уровне конечного пользователя не позволяет Вам изменять это значение. Кроме того, необходимо будет удостовериться, что это выделяет IP-адрес AD сервера как основной сервер DNS. Не делая этого, Ваши клиенты не смогут искать IP-адрес DC. Последующее к этому - то, что необходимо будет удостовериться, что DNS настроен правильно на DC. В состоянии по умолчанию, когда клиенты отправляют запрос DNS на сервер, сервер только сможет дать ответ для доменов, о которых это знает. В Вашем случае это будет доменом Вашего AD. Для вытаскивания "полной" функциональности DNS из того сервера необходимо будет указать средство передачи DNS в конфигурации сервера DNS DC. Для этого значения введите IP-адрес (IP-адреса) серверов DNS своего ISP. После выполнения этого Ваш DC сможет передать запросы DNS, на которые это не знает ответ на сервере DNS Вашего ISP.
-
1Это - моя домашняя сеть так я don' t заставляют много времени играть с ним после работы. I' m собирающийся дать этому движение в выходные и I' ll сообщают, как это шло/отмечало он как корректный. Спасибо за вход ErikA. – Steven Evers 4 November 2009 в 17:38
Если там направляет между DC и беспроводным маршрутизатором, можно просто установить сервер DNS в маршрутизаторе, чтобы быть DC.
Если нет никакой маршрутизации, Вам нужно, действительно делают, как сказал Erik.
-
1Прямо сейчас существует: маршрутизатор/модем <-> переключатель <-> сервер/рабочие станции. Существует один ноутбук, который соединяется с маршрутизатором через беспроводную связь. – Steven Evers 8 November 2009 в 22:54
-
2Если у Вас есть маршрутизация, настроенная между подсетями, то можно просто сделать сервер DNS, что подсеть является AD сервером DNS в router' s настройки. – MDMarra 8 November 2009 в 23:22
Беспроводной маршрутизатор DHCP выделяет корректные серверы DNS, т.е. IP для Ваших контроллеров домена а не IP к себе? В противном случае это - первая вещь зафиксировать.
Во-вторых, наличие двух серверов DHCP могло бы быть определенной проблемой - деактивируют один из и имеют другой, делающий соло работы.
В-третьих, ответ ErikA является самым опрятным способом пойти...