Назад | Перейти на главную страницу

Веб-серверы - подключены к AD или нет?

Вы предпочитаете запускать их веб-серверы IIS в демилитаризованной зоне, которая является частью AD более крупной организации, или вы предпочитаете пожертвовать простотой управления и контролем пользователя над (возможно, предполагаемой) безопасностью?

В настоящее время мы запускаем наши блоки IIS за пределами домена, и это позволяет нам поддерживать одностороннее правило с нашим брандмауэром (нет трафика из DMZ в LAN, за исключением 1 порта SQL). Однако это означает, что теперь мне нужно использовать аутентификацию, отличную от AD, и вручную синхронизировать пароли между ящиками.

Что безопаснее?

нашел ответ здесь Active Directory в DMZ

вы можете получить лучшее из обоих миров. AD LDS можно внедрить и объединить с вашим доменом см. Эта статья для обзора

Мы запускаем наши серверы IIS в домене - их собственном домене. Когда удостоверение пула приложений и службы запускаются в учетной записи домена, намного проще контролировать доступ к общим файлам, данным и другим ресурсам на разных машинах. Преимущества этой модели заключаются в безопасности, масштабируемости и простоте использования. Я не могу представить себе какой-либо риск, связанный с размещением сервера IIS в домене, которым сложно управлять.

У нас есть готовый продукт, который требует, чтобы мы запускали программное обеспечение на доменном сервере IIS. Более того, по крайней мере один из имеющихся у нас пакетов OTS предназначен для выхода в Интернет и требует доменного доступа. Кто-то может назвать это приложение плохо спроектированным, но мы должны его использовать, поэтому вопрос немного спорный.