就像主题听起来一样愚蠢,我们有一个真正的原因,使一个小型的基于Web的程序可以通过networking访问,程序使用ASP.NET和从Active Directory读取数据(这不是我们的内部AD只是一个模型),我们希望使这个ASP.NET网站在networking上,所以我的问题是,你会如何做到这一点便宜,安全?
PS一个vpn不是一个选项,因为我们不知道谁将会访问该程序呢。
可以从一个ISP的虚拟服务器安装AD / IIS等?
感谢Scott
我不会在networking上放置一个DC,而是将AD-LDS安装在Web服务器或其他服务器上,并在需要时从本地只读DC或整个WAN复制到正常的基础架构
你是说你只需要一个AD服务器,或者你有一个特定的AD安装需要阅读? 如果它只是一个AD服务器,那么为什么要使用AD而不是某种SQL数据库呢?
我几乎想要build议在设定的时间自动将ADlogging转储到指定位置,然后将结果上传到networking外的另一台服务器,这样可以最大限度地减less受到攻击的风险,同时还可以清理数据你只能得到你需要的信息(除了密码,也许)。
否则,您将不得不打开防火墙端口以允许访问,因为AD服务器很可能需要与networking中的其他AD服务器同步。
使这个更难的部分是,你说你不能使用VPN,因为你不知道谁正在访问它。 在这种情况下,我们可能需要更多地了解你所描述的场景(比如为什么你不能使用数据库的想法,为什么特别是AD),因为这对我来说意味着它不是你的企业/公司使用它与您的业务/公司的AD基础设施,所以你可能会逃避改变如何存储数据。 什么数据是特别需要的? 它可以通过自动转储到文件和传输中介吗?
对于任何想要将内部networking元素(特别是业务login和AD等内部信息)暴露给Internet的想法,我都会保持警惕。
把它放进去,添加RRAS NAT – 指向外部,反向映射你使用的IP和端口。
结果? 只有应用程序是可访问的;)加上远程桌面。 AD已经出来了
但是你为什么要安装AD呢? 我不是一个示范 – 你几乎已经接近花费你一笔财富,而不是使用便宜的SPLA许可证。