I server Web Windows devono essere membri di un dominio Active Directory

In termini di sicurezza e gestibilità - Qual è la migliore pratica?

Dovrebbe server web

• Essere aggiunto e gestito da un dominio di Active Directory

o

• Far parte di un gruppo di lavoro "web server" separato dalla directory attiva "server risorse"?

Non è necessario che ci siano account utente sui server Web, solo account di gestione (gestione server, report di sistema, distribuzione di contenuti ecc.)

Se si desidera utilizzare la delega Kerberos per creare un'infrastruttura sicura (e FARE TU), sarà necessario unire tali server Web al dominio. Il server Web (o l'account del servizio) avrà bisogno della possibilità di delegare ad esso assegnato per consentire la rappresentazione dell'utente sul proprio server SQL.

Volete evitare di utilizzare l'autenticazione basata su SQL sul server SQL se avete requisiti di controllo o di legge per il tracciamento dell'accesso ai dati (HIPAA, SOX, ecc.) Dovreste tenere traccia dell'accesso attraverso il processo di provisioning (ovvero chi è in quali gruppi, come è stato approvato e da chi) e tutti gli accessi ai dati dovrebbero avvenire tramite l'account assegnato di un utente.

Per problemi relativi a DMZ relativi all'accesso all'AD , è possibile risolverne alcuni con Server 2008 utilizzando un controller di dominio di sola lettura (RODC), ma esiste ancora il rischio con la distribuzione nella DMZ. Esistono anche alcuni modi per forzare un controller di dominio a utilizzare porte specifiche per eseguire il punch through di un firewall, ma questo tipo di cutomization può rendere difficile risolvere problemi di autenticazione.

Se hai esigenze specifiche per consentire agli utenti di Internet e Intranet di accedere alla stessa applicazione, potresti dover esaminare uno dei prodotti Federeated Services, l'offerta Microsoft o qualcosa come Ping Federated.

Uso interno, assolutamente. In questo modo vengono gestiti dall'oggetto Criteri di gruppo, l'applicazione di patch non è così difficile e il monitoraggio può essere realizzato senza una serie di soluzioni alternative.

Nella DMZ, generalmente consiglierei di no, non dovrebbero essere sulla DMZ. Se si trovano nel dominio e nella DMZ, il problema che si verifica è che il server Web deve disporre di una certa connettività su almeno un controller di dominio. Pertanto, se un utente malintenzionato esterno compromette il server Web, ora può avviare direttamente attacchi contro uno dei controller di dominio. Possedere il controller di dominio, possedere il dominio. Possiedi il dominio, possiedi la foresta.

Perché non avere un dominio Web server nella DMZ?

Potrebbe essere una foresta separata con una relazione di trust unidirezionale per amministrare il dominio dal dominio principale senza concedere alcuna autorizzazione al dominio WS per il dominio principale.

Tutte le gioie di AD / WSUS / GPO - particolarmente utili se ne hai un'intera farm - e se sono compromesse non è la tua rete principale.

Se il server web si trova sulla stessa rete dei controller di dominio, lo aggiungerei sicuramente al dominio, poiché questo ovviamente aggiunge molta gestibilità. Tuttavia, di solito cerco di inserire server Web in una DMZ per aumentare la sicurezza, il che rende impossibile l'accesso al dominio senza fori (e questa è una pessima idea!)

Come altri hanno già detto, se questi sono rivolti al pubblico e non richiedono l'autenticazione degli utenti rispetto alla directory, non inserirli nel dominio.

Tuttavia, se dovessi richiedere una sorta di autenticazione o ricerca di informazioni da AD, cerca eventualmente di eseguire Active Directory Application Mode ( ADAM ) nella DMZ. Potrebbe essere necessario replicare le informazioni di relavent da AD nella partizione Applicaton poiché ADAM non sincronizza le partizioni AD standard.

Se stai solo cercando funzionalità di gestione, ADAM non si applica.