我在VPS上有一个应用程序,我想用RemoteApp来运行它,而不必将远程桌面连接到服务器上。 我们的VPS提供商可以向我们出售五包RDS许可证,这将是很多。
我打算遵循本指南说,不build议出于安全原因: https : //ryanmangansitblog.com/2015/02/22/deploying-rds-2012-r2-on-a-domain-controller-the-walk-通过导/
有关如何为remoteApp设置单个服务器的另一个指南实际上使用了两台服务器: https : //msfreaks.wordpress.com/2013/12/09/windows-2012-r2-remote-desktop-services-part-1/
最后微软有一个关于在DC上安装RDS的指南,本质上只是说不: https : //technet.microsoft.com/en-us/library/cc742817(v=ws.11).aspx他们说这是不安全和不好的性能。 我们有一个体面的大小VPS,并相信用户。
我的问题是安全风险是什么? 运行remoteApp应用程序的用户是受信任的员工。
我相信这通常被认为是一个坏主意,因为域控制器应该是你的networking的关键核心,存储所有的关键到你的王国。 所以他们应该一个人留下,而不是与其他应用程序混合在一起,而不是由非pipe理员用户(甚至定期pipe理员)login,所以关键数据的机会被降低。
但是,在您的具体情况下,这听起来像是AD存在的唯一原因是支持RDS的安装,因为您不能在基本的远程pipe理模式之外使用它,除非您还有一个域。 所以在我看来,把所有angular色放在一台服务器上以节省托pipe成本就好了。 你基本上只是用Active Directory数据库replace服务器的本地SAM数据库。 危害服务器和AD的攻击者是无关紧要的,因为唯一使用AD的是服务器上受到威胁的服务。 所以你擦了它,重新build立或从备份恢复,没有biggie。
就我所知,这两种服务的组合并不会在服务器上产生某种新的可变性。