Я отправил следующий вопрос на сайт stackoverflow
Я установил Windows server 2008 r2 на виртуальную машину. Могу ли я установить Active Directory с контроллером домена + сервером IIS + SQL на той же машине? Я хочу создать веб-приложение, и это веб-приложение будет аутентифицировать пользователей из Active Directory, веб-приложение должно быть опубликовано на сервере IIS, и пользователи должны получить к нему доступ удаленно из своего дома, используя доменное имя моей машины. Кто-то сказал мне, что это очень неправильно иметь IIS и Active Directory на одном компьютере
Я получил следующий ответ
Вы не можете использовать ActiveDirectory через Интернет. По крайней мере, без чего-то вроде VPN в качестве посредника. Их домашние компьютеры не будут присоединены к домену, поэтому сквозная проверка подлинности отсутствует.
Да, ставить AD на веб-сервер - плохая идея. Почему это слишком сложно, чтобы ответить здесь. Достаточно сказать, что даже если бы вы это сделали, скорее всего, это не сработает так, как вы думаете.
Сделать это возможно. Например, многие продукты Microsoft для малого бизнеса размещают IIS, AD и SQL Server на одном сервере. Но вы должны знать, что делаете, чтобы его безопасно настроить.
Затем я добавляю следующий комментарий
Спасибо за ваш ответ. Итак, что вы думаете о том, как лучше всего это сделать, поскольку я не делал ничего подобного раньше, следует ли мне устанавливать активный каталог на одном компьютере, а IIS - на другом? а как насчет SQL мне добавить его на тот же сервер активного каталога? Я также не упомянул, что это будет сервер Microsoft Dynamics, который будет получать доступ к некоторой информации о работе, и мне также нужно читать данные из axapta? также, что такое VPN и как я могу использовать его, чтобы пользователи могли получать доступ к моему веб-приложению где угодно? Извините за мои длинные вопросы и заранее спасибо
так что, пожалуйста, если кто-нибудь может помочь, я буду благодарен
Человек неправильно понял ваш вопрос. Вы, безусловно, можете использовать Active Directory для аутентификации общедоступных интернет-пользователей на веб-сайте. Вы не можете использовать автоматическую аутентификацию Windows, при которой Active Directory автоматически аутентифицирует вас на основе учетной записи пользователя на вашем локальном компьютере, но вы можете указать поле имени пользователя и пароля на своем сайте, которое будет проверять введенные значения по домену Active Directory и искать такие вещи, как правильное членство в группе.
Не рекомендуется размещать домен Active Directory организации на общедоступном веб-сервере. Это верно не только по соображениям безопасности, но и в качестве защиты от атак типа «отказ в обслуживании», когда атака на веб-сервер может помешать пользователю работать на своих локальных машинах, поскольку AD также недоступен. Но нет никаких технических причин, по которым это не сработает. Если аутентификация ваших веб-пользователей является единственная цель этого домена Active Directory, вы, безусловно, можете сделать это без страха. Однако, если это действительно единственная цель, лучше использовать что-то вроде AD LDS (Легкие службы каталогов: подумайте об Active Directory Lite).
Sql Server похож на Active Directory. Это не всегда хорошая идея, но технически может работать. По крайней мере, вы можете начать с этого, а позже переместить Sql Server на другой хост, если возникнет необходимость.