Вопрос: Должно ли производиться веб-серверы Windows (IIS и SQL) в домене?


У нас есть несколько веб-серверов и несколько серверов баз данных. На сегодняшний день они были автономными машинами, которые не являются частью домена. Веб-серверы не разговаривают друг с другом, и веб-серверы общаются с серверами баз данных через SQL Auth.

Моя озабоченность по поводу того, что машины в домене

  1. добавленная сложность - это еще одна «вещь», которая работает, и делает «вещи», которые могут пойти не так.
  2. риск - если контроллер домена выходит из строя, я теперь подвергал опасности другие машины?

Однако в некоторых сценариях им кажется удобным для них находиться в домене, делясь учетными данными. Например, если я хочу дать управление службами на одном компьютере доступ к другому компьютеру (поскольку Remote Desktop дерьмо) Мне нужно войти и назначить привилегии на нескольких машинах - что-то, что я считаю, что Active Directory и учетные записи домена настроены на упрощение.

Мой вопрос: я уверен, что есть вещи, которые я не рассматриваю здесь. Есть ли наилучшая практика?


7
2018-01-12 18:50


Источник


1. Как присоединить их к домену сложность? Это еще одна вещь? Разве они не работают? Как они работают, если они еще не запущены? Как присоединяться к ним в домене, они работают? 2. Как поврежденный / неисправный DC ставит под угрозу другие машины? С риском чего? - joeqwerty
Еще одна вещь работает = процесс, а не машина. Неудачные машины с поставкой DC под угрозой = предположительно внешняя служба, ответственная за авторизацию, больше не может проверять учетные записи. - Tom Lianza


Ответы:


Конечно, Powers That Be может прояснить ситуацию, но вся сеть StackOverflow работает на серверах IIS с задней частью SQL в домене Active Directory. Я бы сказал, что это работает хорошо.

  • добавленная сложность - это еще одна «вещь», которая работает, и делает «вещи», которые могут пойти не так.

Иногда добавление сложности позволяет вам удалить некоторые. Особенно, если вы беспокоитесь о масштабировании, наличие домена может значительно облегчить работу по добавлению серверов, изменению конфигурации и любому количеству вещей. Групповая политика и сценарии, управляемые централизованно, могут делать удивительные вещи, чтобы облегчить вашу жизнь.

  • риск - если контроллер домена выходит из строя, я теперь подвергал опасности другие машины?

Вот почему у вас есть два контроллера домена и не делают их доступными из Интернета. Если кто-то проникнет на ваш сайт, вы все равно будете все в порядке. Вот почему это очень хорошая идея, чтобы ваш домен AD был просто для вашей прикладной среды, если это возможно.

И, наконец, Microsoft разрабатывает свою среду для работы в AD. Межсерверная связь проще и безопаснее, когда AD участвует в арбитраже проверки подлинности и поощряет безопасное использование протокола.


10
2018-01-12 19:26





не просто подумайте о стоимости AD, подумайте о том, что она добавляет

  • централизованное управление учетной записью
  • способность устанавливать и обеспечить соблюдение согласованные политики безопасности
  • способность централизовать развертывание программного обеспечения
  • способность автоматизировать установку фактической операционной системы

Все это может снизить сложность и повысить безопасность в онлайн-сайте - путем централизации всего, что, как мы надеемся, упростит развертывание.

Теперь это не то же самое, что развертывание правильно / надежно, конечно, но это означает, что, как только вы выясните, какое правильное / безопасное развертывание означает, что вам нужно только получить его сразу после вашего централизованного образа ОС и настроек, и это может быть последовательно выталкиваются на новые серверы. Полезно для расширения ваших систем, если вам нужно это сделать и для создания тестовых / dev-сред, которые являются такими же, как производственная сеть.

Если большинство ваших проблем сводятся к ошибкам (и для большинства из нас, они есть), то AD упрощает автоматизацию и разделение ресурсов, уменьшая возможности для совершения этих ошибок.

У нас есть все наши серверы в домене, где я работаю, по причинам, которые я приводил выше (отдельный домен со стороны локальной сети). Конечно, для этого подхода есть риски и затраты. Вы должны рассмотреть обе стороны и принять взвешенное решение.


0
2018-01-12 19:40