我希望能得到一些网页寄存查询的build议。 我们正在build立一个电子商务网站,基本上将驻留在2个网页服务器(由负载均衡器前端)上,并与SQL2008集群交互。
在与networking托pipe公司打交道的时候,有些公司试图向我们出售一个额外的盒子,这个盒子将被用作一个域控制器。 他们声称这是更好的devise。 当然,成本也相应上涨。
我想更好地理解这一点 – DC是否从安全angular度为我们提供了更好的支持? 如果我们没有这个,我们可能会失去什么?
从安全devise和维护angular度来看,拥有AD域中的所有设备肯定具有优势:简化的用户和服务帐户pipe理,组策略支持,集中权限,所有组件之间的安全通信,以及我可能忽略的更多。
但是,这也增加了所有事务的开销 – 一切都通过域控制器进行身份validation。
最后,您必须权衡额外DC的额外成本与pipe理和安全性的好处。
迂回地说,除非你使用的是Windows NT4域控制器,否则就不会有PDC这样的东西了。
将域控制器添加到混合中并不会增加安全性,尽pipe它会使身份validation稍微简单一些,但是如果您必须添加域控制器(出于其他原因),请不要将其公开到互联网上,保持在一个单独的服务器上。 FWIW在安装活动目录至less有两个域控制器时也是标准做法,否则灾难恢复可能是“有趣的”。
从你的问题中的信息,我build议你避免添加DC,事实上,我build议你避免像瘟疫一样。
你可能也想考虑许可。 我不知道这是你或托pipe公司负责的东西,但是如果你正在使用Web版的服务器,你需要将它升级到标准版,以便将AD安装到现有的服务器上,这也意味着您可能需要为您的用户购买外部连接器许可证或足够的CAL。 但是,如果您使用单独的域控制器,这不会成为问题。
如果从一个服务器到另一个服务器到另一个服务器不需要authentication许多不同的连接(也就是用户)的许多不同的连接,那么我build议虽然域devise可能是纸上最纯粹的select,但它可能不是真的需要你在这里做什么。
我也同意你已经有的评论 – 特别是如果你有一个DC,它应该是一个单独的盒子(不同的虚拟机是好的),而不是暴露在互联网上,如果你有一个DC,你最好有两个冗余的目的。 在那个时候,一个简单而相对便宜的在线业务已经变得相当复杂和昂贵,而且我不会做任何能够利用AD的优势的事情,这也是很难certificate的。
你可能会考虑的一件事情是服务器的数量和这些服务器之间交互的复杂性有多大, 显然确实有一个地方,一个领域是有道理的,它更容易开始与正确的devise,而不是中途改变。