Вопросы Теги

Если Windows Web Servers является членами Домена Active Directory

При использовании systemctl можно использовать: 

systemctl restart rsyslog.service

Когда-то перезапущенный, проверьте его состояние с командой: 

systemctl status rsyslog.service
14
задан 22 September 2009 в 17:42
5 ответов

Если Вы захотите использовать делегацию Kerberos для создания безопасной инфраструктуры (и ВЫ ДЕЛАЕТЕ), то необходимо будет соединить те веб-серверы с доменом. Веб-серверу (или сервисная учетная запись) будет нужна способность делегировать присвоенный ему для разрешения пользовательского олицетворения против SQL-сервера.

Вы проуспешно хотите избегать использования основанной на SQL аутентификации на SQL-сервере, если у Вас есть какой-либо аудит или обязательные требования для отслеживания доступа к данным (HIPAA, SOX, и т.д.) Необходимо отслеживать доступ посредством процесса настройки (т.е. кто находится в том, какими группами, как это было утверждено, и кого) и весь доступ к данным должен быть через присвоенную учетную запись пользователя.

Для проблем демилитаризованной зоны, связанных с доступом к AD, можно разрешить часть этого с Сервером использование 2008 года DC Только для чтения (RODC), но существует все еще риск с развертыванием в демилитаризованную зону. Существуют также некоторые способы вынудить DC использовать определенные порты для перфорации через брандмауэр, но этот тип cutomization может мешать к troublehsoot проблемам аутентификации.

Если у Вас есть определенные потребности позволить и Интернет и пользовательский доступ Интранет к тому же приложению, Вы, возможно, должны были бы изучить использование одного из продуктов Federeated Services, или предложение Microsoft или что-то как Федеративный Ping.

8
ответ дан 2 December 2019 в 21:05

Внутреннее пользование, абсолютно. Тем путем ими управляет GPO, исправление не является столь же трудным, и контроль может быть выполнен без набора обходных решений.

В демилитаризованной зоне обычно я советовал бы не, они не должны быть на демилитаризованной зоне. Если они находятся на домене и в демилитаризованной зоне, проблема, с которой Вы сталкиваетесь, - то, что веб-сервер должен иметь определенную возможность соединения назад по крайней мере к одному DC. Поэтому, если внешний взломщик ставит под угрозу веб-сервер, он может теперь непосредственно предпринять ряд наступлений против одного из DCS. Владейте DC, владейте доменом. Владейте доменом, владейте лесом.

8
ответ дан 2 December 2019 в 21:05
  • 1
    Спасибо КБ и Rob. Создание другого AD в сети периметра является одним ответом, но мной can' t выравнивают по ширине меня имеющий необходимость купить другой сервер только, чтобы быть хостом AD для веб-серверов. Urg. Другая сложность - то, что веб-серверы должны иметь НЕКОТОРЫЙ трафик, позволенный во внутренний ' trusted' сеть (например, SQL) и что трафик SQL защищается с помощью соединения надежной сети. Я предполагаю, что мы должны говорить приблизительно две РЕКЛАМЫ и доверие между двумя? –  David Christiansen 1 June 2009 в 16:37
  • 2
    That' s самый безопасный маршрут, да. У Вас есть лес для находящихся на демилитаризованной зоне серверов, и он имеет один путь, доверяют назад внутреннему лесу. Однако я посмотрел бы на разрешение основанной на SQL Server аутентификации сначала. –  K. Brian Kelley 1 June 2009 в 17:04
  • 3
    Я соглашаюсь, это - способ пойти. –  squillman 1 June 2009 в 17:37

Почему бы не Домен веб-сервера в демилитаризованной зоне?

Это мог быть отдельный лес с одним путем доверительные отношения для администрирования домена от основного домена, не давая разрешения домену WS для основного домена.

Все радости AD/WSUS/GPO - особенно полезный, если у Вас есть целая ферма их - и если он пошел на компромисс, это не Ваша основная сеть.

6
ответ дан 2 December 2019 в 21:05
  • 1
    That' s самый безопасный маршрут, чтобы пойти, если необходимо использовать домен. Однако you' ре, все еще говоря о получении прямой атаки на DC. И в сценарии Вы даете, если я получаю тот DC, если you' ve вынутые кэшируемые учетные данные, я могу все еще вытянуть их и иметь учетные данные для использования против первичного домена / леса. –  K. Brian Kelley 1 June 2009 в 17:23
  • 2
    КБ, Из интереса, может Вы описывать ' кэшируемый credentials' –  David Christiansen 1 June 2009 в 19:02
  • 3
    Если Вы не выключите его, система Windows будет кэшировать учетные данные пароля (на самом деле хеш хеша), когда Вы входите в систему. Это - то, что разрешает Вам иметь ноутбук и вход в систему с Вашим доменным входом в систему когда далеко от корпоративной сети. Извлечение, что, используйте таблицы радуги, Вы получаете идею. –  K. Brian Kelley 1 June 2009 в 19:22
  • 4
    Если доверие - только один, путь кэшировался, учетные данные не важны, поскольку сервер демилитаризованной зоны никогда не будет проходить проверку подлинности против первичного домена. –  Jon Rhoades 2 June 2009 в 01:30

Если бы веб-сервер находится в той же сети как Контроллер (контроллеры) домена, то я определенно добавил бы его к домену - как это, очевидно, добавляет много управляемости. Однако я обычно стремился бы поместить веб-серверы в демилитаризованную зону для увеличения безопасности - который делает доступ к домену невозможным без крошечных отверстий (и это - очень плохая идея!)

2
ответ дан 2 December 2019 в 21:05

Как другие упомянули, если они общедоступны и не требуют проходящих проверку подлинности пользователей против каталога, то не помещайте их в домен.

Однако, если Вы требуете своего рода аутентификации или поиска информации от AD, возможно изучаете рабочий Режим приложения Active Directory (ADAM) в демилитаризованной зоне. Вы, возможно, должны копировать relavent информацию от AD в Раздел Applicaton, поскольку ADAM не синхронизирует стандартные AD разделы.

Если Вы просто ищете функции управления, хотя, ADAM не применяется.

1
ответ дан 2 December 2019 в 21:05

Теги

Похожие вопросы