我们有一个AD域的服务器和计算机networking。 其中一台服务器运行一个基于PHP的pipe理系统(ERP),我们希望可以通过互联网访问它。 当我说互联网,我不是说在谷歌或任何东西,只是一个开放的港口与我们的网站的子域。 我并不担心ERP本身(PHPlogin等)的安全性,而是应该(或不是)与networking分开的方式。 我已经读了很多,说你不应该有一个AD域的公共服务器,但有什么办法pipe理它缺乏物理访问? 即使我们拥有公元,我们也不能在非军事区拥有它。 我们确实想到了一个VPN,但对用户来说有点麻烦,尽pipe它可能是我们唯一的select。 希望我是有道理的,因为我在这个应该如何设置有点损失。
谢谢。
如果软件支持,您可以安装第二个NIC和多服务器。
AD域的风险取决于凭据是否用于login到该服务器。 如果是这样,他们处于危险之中,你可能想用一个只有权限的帐户来pipe理它。
是的,如果你没有注意到拥有它可能是一个进一步的风险,但只要你没有login域pipe理员等,它不一定会立即妥协整个领域。
长期以来,最好是获得额外的networking设备,并configuration一个DMZ,并将其与内部networking分开,并只打开绝对需要的端口回到AD或其他任何内部。