生產中的活動目錄？

我們正準備部署我們的應用程序的新版本。生產環境將是兩個負載平衡的應用伺服器，連接到兩個數據庫伺服器（配置為鏡像）。現在在我們的辦公室進行測試期間，我們使用一台應用伺服器和一台數據庫伺服器，並且大部分身份驗證都是使用我們的域控制器完成的，我們發現域身份驗證很好，並且希望盡可能將其保留在生產環境中。

當我們投入生產時，我試圖弄清楚讓我的兩個應用程序伺服器成為域控制器是否有意義，以便對 SQL 伺服器等服務的身份驗證可以使用域身份驗證。

在這種情況下的常見做法是什麼，我應該使用 Active Directory，還是有一個輕量級的替代品？工作組模式是公認的方式嗎？讓我的應用伺服器成為域控制器是愚蠢的嗎？

如果應用層要暴露在網際網路上，出於安全原因，我不會這樣做。如果是這樣，他們應該在 DMZ 中，並且無法直接聯繫您的內部 AD。想像一下，如果它們被破解並且它們是 DC。壞消息，對吧？想像一下，如果它們不是 DC，而是被破解，並且可以用來直接對域帳戶發起攻擊。

如果你想對你的 AD 進行身份驗證，最好的做法是使用 ADAM 和 AD 複製或某種代理。

如果這是一個僅限內部的應用程序並且沒有暴露在網路上，那麼你可以做任何你想做的事情。

編輯 - 另一條評論。如果您希望嚴格在應用程序環境中進行域身份驗證（在這一點上您的問題我不清楚），那麼您可以在 DMZ 中設置獨立的 AD。如果您正在集群 SQL，我認為您無論如何都需要一個域。允許應用層使用該域對 SQL 進行身份驗證比允許它連接到您的實際內部 AD 更好。“最佳實踐”始終必須與您嘗試做的事情的收益和風險進行權衡。

引用自：https://serverfault.com/questions/180750