我们有几个Web服务器和一些数据库服务器。 迄今为止,他们是独立的机器,不属于域的一部分。 Web服务器不互相通信,Web服务器通过SQL身份validation与数据库服务器通信。
我一起把机器放在一个领域的关切是
但是,在某些情况下,他们在域上共享凭据似乎很方便。 例如,如果我想让一台机器上的“服务”控制访问另一台机器(因为远程桌面掏出 ),我需要进入并在多台机器上分配权限 – 我认为Active Directory和域帐户设置为简化。
我的问题:我确定有些事情我不在这里考虑。 有最佳做法吗?
当然,权力可以澄清的事情,但整个StackOverflownetworking运行在IIS服务器与Active Directory域中的SQL后端。 我会说它运作良好。
- 增加了复杂性 – 这是一个“东西”运行,做“事情”,可能会出错。
有时增加复杂性允许您删除一些。 特别是如果你担心扩大规模,有一个域可以大大缓解添加服务器,改变configuration和许多事情的工作。 组策略和集中pipe理的脚本可以做出惊人的事情来减轻你的生活。
- 风险 – 如果域控制器出现故障,我现在是否将其他机器置于危险之中?
这就是为什么你有两个域控制器,并不要让他们从互联网上获得。 如果有人渗透你的网站,无论如何,你几乎被洗净。 这就是为什么在可能的情况下让您的AD域仅适用于您的应用程序环境是一个非常好的主意。
最后,微软devise他们的环境在AD内工作。 当AD涉及仲裁authentication并鼓励安全的协议使用时,服务器间的通信变得更容易和更安全。
不要只考虑AD的成本,想一想它增加了什么
所有这些都可以降低复杂性,并提高在线网站的安全性 – 通过集中pipe理您希望更容易部署的内容。
现在这与正确/安全地进行部署并不相同,但这确实意味着一旦找出正确/安全的部署方式,就意味着只需在集中的操作系统映像和设置中进行正确的安装,就可以始终推到新的服务器。 如果您需要这样做,并且创build与生产networking相同的testing/开发环境,则对于扩展您的系统非常有用。
如果你的大部分问题都是由于错误(而对于我们大多数人来说都是错误的),那么AD使得自动化和共享资源变得容易,从而减less了犯这些错误的机会。
我们将所有服务器放在我工作的域中,这是因为我给出的原因(从局域网的一个单独的域)。 这当然也有风险和成本。 你需要考虑双方,做出一个平衡的决定。