Active Directory в производстве?
Я не сделал бы этого из соображений безопасности, если уровень приложений будет выставленным Интернету. Если так, они должны быть в демилитаризованной зоне, и не способны непосредственно связаться с Вашим внутренним AD. Вообразите, были ли они взломаны, и они были DCS. Плохие новости, правильно? И вообразите, не были ли они DCS, но раскололись и могли бы использоваться для предпринятия атак непосредственно против учетных записей домена.
Если Вы хотите автора к своему AD, лучшая практика должна использовать что-то как ADAM и AD репликация или своего рода проксирование.
Если это - внутреннее единственное приложение и не выставленное сети, то можно сделать то, что Вы хотите.
Редактирование - Другой комментарий. Если Вы хотите аутентификацию домена строго в среде приложения (Ваш вопрос неясен мне по этому вопросу), то можно настроить автономный AD в демилитаризованной зоне. Если Вы кластеризируете SQL, я думаю, что Вам нужен домен так или иначе для этого. Разрешение уровня приложений использовать тот домен для аутентификации к SQL лучше, чем разрешение этого соединиться с фактическим внутренним AD. "Лучшая практика" всегда должна взвешиваться против преимуществ и риска того, что Вы пытаетесь сделать.
-
1, которым Серверы будут в нашем хосте, и позади обычного брандмауэра и т.д. Приложения не размещаются в IIS, но я слышу Вас wrt к DC как серверы приложений. Действительно ли проксирование является видом вещи, которая могла быть совместно размещена на сервере приложений, или лучше всего просто избегать этого? – David Martin 14 September 2010 в 02:53
-
2Ваша цель не состоит в том, чтобы позволить сервер, который мог потенциально быть взломан внешним пользователем, для имения любых прав или доступа к внутренней (доверяемой) сети. Вы не хотите программное обеспечение, которое может взаимодействовать через интерфейс непосредственно с Вашим AD, работающим на сервере, который размещает стоящие с Интернетом сервисы. – mfinni 14 September 2010 в 03:41
-
3Вы предположили правильно, AD в производстве будет полностью отдельным от нашего офиса AD, и используемый только теми серверами. Кажется, что преимущество явно перевешено дополнительным расходом двух дополнительных серверов. Обратите внимание, рабочая нагрузка была бы настолько маленькой, серверы должны будут едва быть большими... – David Martin 14 September 2010 в 04:56
Действительно ли глупо иметь мои серверы приложений быть контроллерами домена?
Уверенный. Никогда не мудро выставить контроллер домена непосредственно Интернету. Ваши серверы приложений должны запрашивать DC на другой машине (виртуальный или физический). Необходимо также удостовериться, что любой трафик между серверами и DC шифруется.