Назад | Перейти на главную страницу

Active Directory в DMZ

Как лучше всего управлять учетными записями пользователей для серверов Windows в DMZ? Мы расширяем наше присутствие в Интернете и добавляем несколько серверов IIS в нашу DMZ. Я бы предпочел не управлять кучей локальных учетных записей или, с другой стороны, открывать наши внутренние серверы Active Directory непосредственно для DMZ. Есть ли стандартный подход к этой проблеме?

Вы можете создать отдельный AD для DMZ и действительно заблокировать контроллеры домена в DMZ. Таким образом, у вас есть два места для обслуживания учетных записей, и вы можете сделать еще один шаг, установив доверительные отношения, чтобы вы могли войти в свою DMZ AD со своими внутренними учетными записями AD.

Команда Active Directory в Microsoft выпустила руководство с передовыми методами работы AD в DMZ.

Доменные службы Active Directory в сети периметра (Windows Server 2008)

В руководстве рассматриваются следующие модели AD для сети периметра:

  • Нет Active Directory (локальные учетные записи)
  • Изолированная модель леса
  • Расширенная модель корпоративного леса
  • Модель лесного доверия

Это руководство содержит указания по определению того, подходят ли доменные службы Active Directory (AD DS) для вашей сети периметра (также известной как DMZ или экстрасети), различные модели развертывания AD DS в сетях периметра, а также информацию о планировании и развертывании только для чтения. Контроллеры домена (RODC) в сети периметра. Поскольку контроллеры домена только для чтения предоставляют новые возможности для сетей периметра, большая часть содержимого в этом руководстве описывает, как планировать и развертывать эту новую функцию Windows Server 2008. Однако другие модели Active Directory, представленные в этом руководстве, также являются жизнеспособными решениями для вашей сети периметра.

Это будет зависеть от того, как вы собираетесь управлять пользователями.

Если пользователи уже существуют внутри, мой подход будет заключаться в использовании существующей структуры AD.

Если дело просто в наличии 10 ящиков IIS, которым всем нужен один и тот же доступ к учетной записи, тогда создайте отдельную структуру AD внутри DMZ.

Если учетные записи пользователей должны существовать только в каждом ящике. Тогда локальные учетные записи будут лучшим подходом.

Как и во всем остальном, уязвимость - это компромисс для безопасности. Но правильно настроенный брандмауэр не подвергнет вашу AD значительному риску, просто присоединив ваши IIS-блоки к домену.