在DMZ中pipe理Windows服务器的用户帐户的最佳方法是什么? 我们正在扩大我们的网站,并增加几个IIS服务器到我们的DMZ。 我宁愿不pipe理一堆本地帐户,或者另一方面,我们的内部Active Directory服务器直接暴露给DMZ。 有没有一个标准的方法来解决这个问题?
微软的Active Directory团队已经发布了在DMZ中运行AD的最佳实践指南。
外围networking中的Active Directory域服务(Windows Server 2008)
本指南涵盖以下用于外围networking的AD型号:
本指南包含确定Active Directory域服务(AD DS)是否适用于您的外围networking(也称为DMZ或外部网)的方向,用于在外围networking中部署AD DS的各种模型以及用于只读的规划和部署信息外围networking中的域控制器(RODC)。 由于RODC为外围networking提供了新function,因此本指南中的大部分内容都介绍了如何规划和部署这个新的Windows Server 2008function。 但是,本指南中介绍的其他Active Directory模型也是您的外围networking的可行解决scheme。
您可以为DMZ创build一个单独的AD,并真正lockingDMZ中的域控制器。 这样,你有两个地方来维护帐户,你可以进一步build立一个信任,以便您可以login到您的内部AD帐户的DMZ广告。
这取决于你打算如何pipe理用户。
如果用户已经内部存在,我的方法是使用现有的AD结构。
如果这只是一个有10个IIS框的问题,都需要相同的用户帐户访问权限,那么在DMZ内站立一个独立的AD结构。
如果用户帐户只需要存在于每个盒子上。 那么本地帐户将是最好的方法。
就像所有的事情一样,暴露是安全的权衡。 但是正确configuration的防火墙不会让您的AD承担很大的风险,只需将您的IIS框连接到域。