我有三个远程专用Web服务器在不同的虚拟主机。 将它们添加到一个通用的域会使得很多pipe理任务变得更加容易。 由于其中两台服务器运行的是Windows 2008 R2 Standard,所以我想把它们提升到域控制器来设置Windows域。 在Serverfault中有另一个线程推荐这个。
与此同时,我在不同的网站上阅读过很多次,这不是一个好主意,因为域控制器应该总是在防火墙LAN之后。 但我不能设置这样的东西,因为我没有一个可以从互联网访问的静态IP的局域网。 事实上,我甚至没有在我的局域网中的Windows服务器。
我没有发现的是, 为什么把DC公开给互联网将是一个坏主意。
我能看到的唯一风险是,如果有人渗透我的一个networking服务器,那么渗透其他服务器应该也容易得多。 但据我所知,这是最坏的情况,因为我只是把我的networking服务器,而不是我的本地networking的任何计算机。
这是唯一的缺点,还是它更容易渗透我的networking服务器之一呢?
编辑:如果我将防火墙规则添加到DC,那么只有从其他两个Web服务器发起时,才能接受到AD服务器的传入连接? 我的意思是类似于http://support.microsoft.com/kb/555381/en-us上描述的设置,但使用额外的基于IP的规则来确保只有在域中的其他Web服务器才能访问DC相关港口。
对networking开放的东西越多,某些东西/某人讨厌进入您的networking并做出不必要的事情的可能性就越大。 我个人喜欢不开放的政策。 如果你想让其他networking看到你的DC,我会看看通过某种VPN设备远程桥接你的networking。 我相信如果你有一个很好的路由器,你可以设置它。 我从来没有尝试过,但我会先看看pfsense。
Doc已经涵盖了将你的攻击面积保持在最小的关键点,所以我不再重复。 关于为什么你不应该向互联网揭露一个区议会,区议会载有所有不应该向公众提供的信息。 通过devise,DC可以被任何人查询。 即使没有直接影响DC本身,只是有一个有效的用户帐户列表给了攻击者一个伟大的开始,让你的问题的最后一部分的答案是肯定的。