Как ни глупо звучит тема, у нас есть настоящая причина сделать небольшую веб-программу доступной через Интернет, программа использует ASP.NET и считывает данные из Active Directory (это не наша внутренняя AD, а просто макет), мы хотим сделать этот сайт ASP.NET доступным в Интернете, поэтому мой вопрос: как бы вы это сделали дешево и безопасно?
PS VPN не вариант, так как мы еще не знаем, кто будет получать доступ к программе.
Можно ли установить виртуальный сервер от интернет-провайдера с AD / IIS и т. Д.?
Спасибо, Скотт
Я бы не стал размещать DC в сети, я бы вместо этого установил AD-LDS либо на веб-сервере, либо на другом сервере и реплицируйте информацию, если мне нужно, либо с локального контроллера домена только для чтения, либо через глобальную сеть в мою обычную инфраструктуру
Вы говорите, что вам просто нужен сервер AD или у вас есть конкретная установка AD, которую нужно прочитать? И если это просто сервер AD, точка, зачем использовать AD, а не какую-то базу данных SQL?
У меня почти возникло искушение предложить автоматизировать дамп записей AD в заданное место в заданное время, а затем выгружать результаты на другой сервер за пределами сети, и таким образом вы минимизируете подверженность атаке, а также дезинфицируете данные, чтобы вы получаете только нужную информацию (кроме паролей, может быть).
В противном случае вам придется открывать порты брандмауэра, чтобы разрешить доступ, поскольку серверу AD, скорее всего, потребуется синхронизация с другими серверами AD в сети.
Часть, которая усложняет это, заключается в том, что вы говорите, что не можете использовать VPN, потому что не знаете, кто получает к нему доступ. В этом случае нам, вероятно, нужно будет больше узнать о сценарии, который вы излагаете (например, почему вы не можете использовать идею базы данных, почему именно AD), потому что это для меня означает, что это не ваш бизнес / корпорация использует ее. с инфраструктурой AD вашего бизнеса / корпорации, так что вы можете обойтись без изменения способа хранения данных. Какие именно данные нужны? Может ли это быть чем-то, что можно посредничать с помощью автоматического дампа в файл и передачи?
Я бы с осторожностью отнесся к любой идее, которая должна предоставить доступ к Интернету элемента внутренней сети, особенно для бизнес-логинов и внутренней информации, такой как AD.
Вставьте его, добавьте RRAS NAT - указывая наружу, переверните IP и порты, которые вы используете.
Результат? Доступно только приложение Smile Плюс удаленный рабочий стол. AD отсутствует.
Но почему вы вообще хотите устанавливать AD? Я это не демонстрация - вы почти стоите вам целого состояния вместо использования дешевых лицензий SPLA.