在安全性和可pipe理性方面 – 什么是最佳实践?
应该web服务器
要么
没有要求在Web服务器上有用户帐户,只有pipe理帐户(服务器pipe理,系统报告,内容部署等)
如果您想使用Kerberos委派来构build安全的基础架构(而您),则需要将这些Web服务器join到域中。 Web服务器(或服务帐户)将需要委派给它的能力,以便允许用户模仿你的SQL服务器。
如果您对跟踪数据访问(HIPAA,SOX等)有任何审计或法定要求,则您可能希望远离在SQL服务器上使用基于SQL的身份validation。您应该通过供应过程跟踪访问(即谁在什么样的团体,如何被批准以及由谁承担)以及所有数据访问都应该通过用户的指定帐户进行。
对于与访问AD有关的DMZ问题 ,可以使用只读DC(RODC)在Server 2008上解决其中的一些问题,但部署到DMZ中仍有风险。 还有一些方法可以迫使DC使用特定的端口来穿透防火墙,但是这种types的cutomization可能使得难以解决authentication问题。
如果您有特定的需求,允许Internet和Intranet用户访问相同的应用程序,则可能需要使用联合服务产品之一(Microsoft产品或Ping Federated)。
内部使用,绝对。 这样他们就可以通过GPO进行pipe理,修补并不困难,监控可以在没有一堆解决方法的情况下完成。
在非军事区,一般我会build议不,他们不应该在非军事区。 如果他们在域和DMZ中,那么您遇到的问题是Web服务器必须具有一定的连接性,至less有一个DC。 因此,如果外部攻击者危害Web服务器,他或她现在可以直接对其中一个DC发起攻击。 拥有DC,拥有域名。 拥有领域,拥有森林。
为什么不在DMZ中有一个Web服务器的域名?
它可以是一个独立的森林,具有单向信任关系,可以pipe理主域中的域,而不必为主域的WS域授予任何权限。
AD / WSUS / GPO的所有欢乐 – 如果你有一个完整的农场,尤其有用 – 如果它被破坏,它不是你的主要networking。
如果Web服务器与域控制器在同一个networking上,那么我肯定会把它添加到域中,因为这显然增加了很多的可pipe理性。 不过,我通常会努力把networking服务器放在非军事区,以提高安全性 – 这使得访问领域不可能没有针孔(这是一个非常糟糕的主意!)
正如其他人所提到的,如果这些是面向公众的,并且不需要对目录进行身份validation, 则不要将其放在域中。
但是,如果您需要某种身份validation或从AD中查找信息,可能需要查看DMZ中运行的Active Directory应用程序模式( ADAM )。 您可能需要将相关信息从AD复制到应用程序分区中,因为ADAM不会同步标准AD分区。
如果您只是在寻找pipe理function,ADAM不适用。