Как лучше всего управлять учетными записями пользователей для серверов Windows в DMZ? Мы расширяем наше присутствие в Интернете и добавляем несколько серверов IIS в нашу DMZ. Я бы предпочел не управлять кучей локальных учетных записей или, с другой стороны, открывать наши внутренние серверы Active Directory непосредственно для DMZ. Есть ли стандартный подход к этой проблеме?
Вы можете создать отдельный AD для DMZ и действительно заблокировать контроллеры домена в DMZ. Таким образом, у вас есть два места для обслуживания учетных записей, и вы можете сделать еще один шаг, установив доверительные отношения, чтобы вы могли войти в свою DMZ AD со своими внутренними учетными записями AD.
Команда Active Directory в Microsoft выпустила руководство с передовыми методами работы AD в DMZ.
Доменные службы Active Directory в сети периметра (Windows Server 2008)
В руководстве рассматриваются следующие модели AD для сети периметра:
Это руководство содержит указания по определению того, подходят ли доменные службы Active Directory (AD DS) для вашей сети периметра (также известной как DMZ или экстрасети), различные модели развертывания AD DS в сетях периметра, а также информацию о планировании и развертывании только для чтения. Контроллеры домена (RODC) в сети периметра. Поскольку контроллеры домена только для чтения предоставляют новые возможности для сетей периметра, большая часть содержимого в этом руководстве описывает, как планировать и развертывать эту новую функцию Windows Server 2008. Однако другие модели Active Directory, представленные в этом руководстве, также являются жизнеспособными решениями для вашей сети периметра.
Это будет зависеть от того, как вы собираетесь управлять пользователями.
Если пользователи уже существуют внутри, мой подход будет заключаться в использовании существующей структуры AD.
Если дело просто в наличии 10 ящиков IIS, которым всем нужен один и тот же доступ к учетной записи, тогда создайте отдельную структуру AD внутри DMZ.
Если учетные записи пользователей должны существовать только в каждом ящике. Тогда локальные учетные записи будут лучшим подходом.
Как и во всем остальном, уязвимость - это компромисс для безопасности. Но правильно настроенный брандмауэр не подвергнет вашу AD значительному риску, просто присоединив ваши IIS-блоки к домену.