Мы используем Server 2008R2 IIS 7.5 с базой данных SQL на сервере. В настоящий момент система нормально работает с тремя серверами, настроенными в ферме балансировки нагрузки, при этом данные передаются обратно в базу данных SQL.
Все эти серверы находятся в отдельной подсети с общим именем пользователя и паролем администратора.
Есть ли преимущество в том, чтобы сделать один сервер PDC и создать свой собственный домен и присоединить остальные запоминающиеся серверы к домену?
Или, если он не сломан, не чинить?
У меня всегда были мои фермы в программном обеспечении с центральной настройкой аутентификации, будь то AD или LDAP. Причина, по которой я это делаю, - простота администрирования учетных записей служб / доступа. Вы также можете использовать его как часть системы единого входа, если вам нужно будет перейти на эту часть в будущем.
В основном я ленив, и я хочу пойти только в одно место для настройки учетных записей Auth, имея их в качестве автономного сервера для меня, это просто админ и просто заноза в заднице.
Я говорю: сделайте это, но просто убедитесь, что у вас есть 2 контроллера AD, каждый из которых настроен в качестве службы глобального каталога, как будто вы один, и он умирает, что вы попадете в мир боли, я знаю, как это случилось со мной (это был случай в 2К3 объявления не уверен, будет ли это так же в 2К8).
Некоторые основные мысли, основанные на приведенной краткой информации ....
Похоже, вы используете то, что некоторые называют сквозной аутентификацией (с использованием общей учетной записи администратора), действительно работает, и если у вас нет проблем, я согласен - то, что не сломано, не обязательно требуют фиксации.
Однако в подобном решении вы зависите от того, что MS не внесет изменений в систему безопасности, чтобы заблокировать этот тип решения, и от того, что ваши пароли в ящике будут постоянно синхронизироваться.
Вы упомянули SQL. Из-за того, как вы работаете, вся ваша аутентификация на ваших машинах - это фактически NTLM, который требует аутентификации каждого запроса. На нижнем уровне это не очень заметно, но по мере того, как ваш сайт масштабируется и уровни транзакций увеличиваются, я ожидаю, что вы начнете видеть тонкие узкие места в пропускной способности на своих сайтах.
Нахождение в домене смягчает оба этих фактора. Первый пункт очевиден. Во-вторых, нахождение в домене позволяет вам использовать (автоматически, я мог бы добавить) аутентификацию Kerberos, когда аутентификация данного пользователя предоставляется в форме «билета», который действует в течение нескольких минут (если не дольше). Для приложения taht интенсивно использует SQL (как и мое) - разница буквально днем и ночью.