У меня есть три удаленных выделенных веб-сервера на разных веб-хостах. Добавление их в общий домен значительно упростило бы многие административные задачи. Поскольку два сервера работают под управлением Windows 2008 R2 Standard, я подумал о том, чтобы повысить их до контроллеров домена, чтобы настроить домен Windows. Есть другой поток на Serverfault который рекомендует это.
В то же время я много раз читал на разных сайтах, что это не очень хорошая идея, потому что контроллер домена всегда должен находиться за локальной сетью брандмауэра. Но я не могу настроить что-то подобное, потому что у меня нет локальной сети со статическим IP-адресом, доступным из Интернета. На самом деле у меня даже нет Windows-сервера в моей локальной сети.
Я не обнаружил Зачем выставлять DC в Интернет было бы плохой идеей.
Единственный риск, который я вижу, заключается в том, что если кто-то проникнет на один из моих веб-серверов, проникновение на другие должно быть намного проще. Но насколько я понимаю, это наихудший сценарий, поскольку я перехожу к этому домену только своими веб-серверами, а не компьютерами из моей локальной сети.
Это единственный недостаток или это также облегчает проникновение на один из моих веб-серверов в первую очередь?
Редактировать: Что, если я добавлю правило брандмауэра к контроллеру домена, чтобы входящие подключения к серверу AD принимались только в том случае, если они исходят от двух других веб-серверов? Я имею в виду установку, аналогичную описанной на http://support.microsoft.com/kb/555381/en-us но с дополнительными правилами на основе IP, чтобы гарантировать, что DC доступен только для других веб-серверов в моем домене на соответствующих портах.
Чем больше вещей вы откроете для сети, тем выше ваши шансы, что что-то / кто-то неприятный проникнет в вашу сеть и сделает нежелательные вещи. Мне лично нравится политика не открываться больше, чем я должен. Если вы хотите, чтобы другие сети видели ваш DC, я бы посмотрел на удаленное соединение ваших сетей через какой-нибудь VPN-сервис. Я считаю, что если у вас есть хороший маршрутизатор, вы можете его настроить. Я никогда не пробовал, но начну с pfsense.
Док уже рассмотрел ключевой момент, сводящий к минимуму площадь вашей атаки, поэтому я не буду повторять это. Что касается того, почему вы не должны предоставлять DC в Интернет, DC содержит всевозможную информацию, которая не должна публиковаться. По дизайну DC может быть запрошен кем угодно. Даже без прямого компрометации самого контроллера домена, просто наличие списка действительных учетных записей пользователей дает злоумышленнику отличную фору, делая ответ на последнюю часть вашего вопроса однозначным положительным.