Windows-Server-2008
生產中的活動目錄?
我們正準備部署我們的應用程序的新版本。生產環境將是兩個負載平衡的應用伺服器,連接到兩個數據庫伺服器(配置為鏡像)。現在在我們的辦公室進行測試期間,我們使用一台應用伺服器和一台數據庫伺服器,並且大部分身份驗證都是使用我們的域控制器完成的,我們發現域身份驗證很好,並且希望盡可能將其保留在生產環境中。
當我們投入生產時,我試圖弄清楚讓我的兩個應用程序伺服器成為域控制器是否有意義,以便對 SQL 伺服器等服務的身份驗證可以使用域身份驗證。
在這種情況下的常見做法是什麼,我應該使用 Active Directory,還是有一個輕量級的替代品?工作組模式是公認的方式嗎?讓我的應用伺服器成為域控制器是愚蠢的嗎?
如果應用層要暴露在網際網路上,出於安全原因,我不會這樣做。如果是這樣,他們應該在 DMZ 中,並且無法直接聯繫您的內部 AD。想像一下,如果它們被破解並且它們是 DC。壞消息,對吧?想像一下,如果它們不是 DC,而是被破解,並且可以用來直接對域帳戶發起攻擊。
如果你想對你的 AD 進行身份驗證,最好的做法是使用 ADAM 和 AD 複製或某種代理。
如果這是一個僅限內部的應用程序並且沒有暴露在網路上,那麼你可以做任何你想做的事情。
編輯 - 另一條評論。如果您希望嚴格在應用程序環境中進行域身份驗證(在這一點上您的問題我不清楚),那麼您可以在 DMZ 中設置獨立的 AD。如果您正在集群 SQL,我認為您無論如何都需要一個域。允許應用層使用該域對 SQL 進行身份驗證比允許它連接到您的實際內部 AD 更好。“最佳實踐”始終必須與您嘗試做的事情的收益和風險進行權衡。