Как надежно присоединиться к компьютерам в домене Active Directory в небезопасной сети?
http://php-fpm.org/ - то, что мы использовали на нескольких недавних установках, а не самом FastCGI.
Nginx может быть поделом страницам от memcached, таким образом, Ваше приложение могло записать страницы прямо к memcached. Иначе необходимо было бы удостовериться, что код использовал memcached для запросов/объектов. Кэш кода операции поможет в зависимости от Вашей кодовой базы. Если у Вас есть маленький набор скриптов, которые неоднократно запускаются, APC или XCache (или eaccelerator в некоторых случаях) могут обеспечить хорошее повышение.
Ваш метод кэширования определяется Вашим кодом. Можете Вы страницы кэша? фрагменты? результаты sql? значения? Каково время жизни тех объектов, в каком количестве пространства они нуждаются, насколько большой набор ключей и набор результатов? Что касается memcached того, чтобы быть медленнее, чем APC, так как они действительно не выполняют ту же задачу, я не уверен, что Вы сравнили.
Я согласен с другими авторами, которые говорят, что вам нужно решение сетевого уровня, но я не согласен с советом использовать VPN-клиент. Это добавляет сложности, и, если вы ищете клиентов в ненадежной сети для применения групповой политики во время запуска, это, вероятно, невозможно с клиентом VPN.
Присоединение к домену (и аутентификация в целом) будет наименьшим из моих проблем при работе с клиентами в ненадежной сети. Я был бы гораздо больше озабочен трафиком открытого текста к вашим файловым серверам, серверам приложений и т. Д. Я считаю, что шифрование и аутентификация сетевого уровня в порядке.
IPSEC - это то, что вы здесь ищете. Развертывание политики IPSEC на компьютерах контроллеров домена, требующих связи IPSEC с подсетями, в которых расположены ненадежные клиенты (в идеале, также применяется к вашим рядовым серверам, с которыми клиенты также будут связываться) - это первый шаг.
Второй шаг - использовать протокол AuthIP для безопасного присоединения клиентов к домену. AuthIP позволяет клиентам устанавливать соединение IPSEC с контроллером домена во время процесса присоединения к домену. AuthIP, к сожалению, довольно плохо документирован Microsoft. Это было в Windows Server и клиентских продуктах со времен Windows Vista.
Другим вариантом может быть DirectAccess VPN (который работает «прозрачно» и не требует выполнения клиентской программы) вместе с автономным присоединением к домену для загрузки клиентов в домен. и получить их с помощью DirectAccess. DirectAccess основан на IPSEC (IPv6 туннелируется через ненадежную сеть IPv4 или IPv6 в вашу надежную локальную сеть),
Невозможно принудительно использовать LDAPS через LDAP, кроме как путем блокировки порта. Ldaps - не совсем то решение, которое вам здесь нужно. Я не верю, что присоединение к домену (с рабочими станциями Windows XP +) использует простую привязку для подключения.
Важно помнить, что доступна только передача данных LDAP. Другие данные аутентификации или авторизации с использованием Kerberos, SASL и даже NTLM имеют свои собственные системы шифрования. Таким образом, вы на самом деле не ставите под угрозу свою учетную запись и пароль.
Если вам это нужно, в следующей статье объясняется, как настроить LDAPS в домене Windows, но опять же, это действительно необходимо только тогда, когда вы используете сторонний доступ к AD.
Это необходимо решить на сетевом уровне. Как рекомендуется uslackr, вы можете использовать VPN для создания безопасного сетевого подключения.
LDAP - только один из многих протоколов, которые могут потребоваться, и было бы беспорядочно пытаться исправить на уровне операционной системы.
LDAP tcp/389 udp/389
LDAP for Global Catalog tcp/3268
NetBIOS (if used) 137, 138, 139
CIFS tcp/445 udp/445
LDAPS tcp/636
LDAPS for Global Catalog tcp/3269
NTP tcp/123
RPC Dynamic (all ports above 49152 in Windows 7, or above 1024 in Windows 2003)
RPC Endpoint Mapper tcp/135
DNS tcp/53 udp/53
Kerberos tcp/88 (may also need udp/88 if not forcing kerberos over tcp)
Вы можете загрузить программное обеспечение VPN и заставить их установить VPN-соединение до присоединения к домену.