Sollten Windows-Webserver Mitglieder einer Active Directory-Domäne sein?

In Bezug auf Sicherheit und Verwaltbarkeit - Was ist die beste Vorgehensweise?

Sollte Webserver

• Wird zu einer Active Directory-Domäne hinzugefügt und von dort aus verwaltet

oder

• Teil einer 'Webserver'-Arbeitsgruppe sein, die vom' Ressourcenserver'-Active Directory getrennt ist?

Auf den Webservern müssen keine Benutzerkonten vorhanden sein, sondern nur Verwaltungskonten (Serververwaltung, Systemberichte, Inhaltsbereitstellung usw.).

Wenn Sie mithilfe der Kerberos-Delegierung eine sichere Infrastruktur erstellen möchten (und SIE tun dies auch), müssen Sie diese Webserver der Domäne hinzufügen. Der Webserver (oder das Dienstkonto) muss delegiert werden können, um den Benutzeridentitätswechsel für Ihren SQL-Server zuzulassen.

Sie möchten sich wahrscheinlich von der Verwendung der SQL-basierten Authentifizierung auf dem SQL-Server fernhalten, wenn Sie Prüfungs- oder gesetzliche Anforderungen für die Verfolgung des Datenzugriffs (HIPAA, SOX usw.) haben Welche Gruppen, wie wurde das genehmigt und von wem?) und alle Zugriffe auf Daten sollten über das vom Benutzer zugewiesene Konto erfolgen.

Bei DMZ-Problemen im Zusammenhang mit dem Zugriff auf das AD können Sie einen Teil davon mit Server 2008 mithilfe eines schreibgeschützten DC (Read-Only DC, RODC) lösen. Es besteht jedoch weiterhin ein Risiko bei der Bereitstellung in der DMZ. Es gibt auch einige Möglichkeiten, einen DC zu zwingen, bestimmte Ports zum Durchschlagen einer Firewall zu verwenden, aber diese Art der Anpassung kann es schwierig machen, Authentifizierungsprobleme zu beheben.

Wenn Sie sowohl Internet- als auch Intranetbenutzern den Zugriff auf dieselbe Anwendung ermöglichen möchten, müssen Sie möglicherweise die Verwendung eines der Federeated Services-Produkte prüfen, entweder das Microsoft-Angebot oder so etwas wie Ping Federated.

Absolut für den internen Gebrauch. Auf diese Weise werden sie vom Gruppenrichtlinienobjekt verwaltet, das Patchen ist nicht so schwierig, und die Überwachung kann ohne eine Reihe von Problemumgehungen durchgeführt werden.

In der DMZ würde ich generell nein raten, sie sollten nicht in der DMZ sein. Wenn sie sich in der Domäne und in der DMZ befinden, besteht das Problem darin, dass der Webserver über eine bestimmte Verbindung zu mindestens einem Domänencontroller verfügen muss. Wenn ein externer Angreifer den Webserver kompromittiert, kann er jetzt direkt Angriffe auf einen der Domänencontroller starten. Besitze den DC, besitze die Domain. Besitze die Domain, besitze den Wald.

Warum nicht die Domain eines Webservers in der DMZ?

Es kann sich um eine separate Gesamtstruktur mit einer Einweg-Vertrauensstellung handeln, in der die Domäne von Ihrer Hauptdomäne aus verwaltet wird, ohne der WS-Domäne für Ihre Hauptdomäne eine Berechtigung zu erteilen.

Alle Freuden von AD / WSUS / GPO - besonders nützlich, wenn Sie eine ganze Farm von ihnen haben - und wenn es kompromittiert ist, ist es nicht Ihr Hauptnetzwerk.

Befindet sich der Webserver im selben Netzwerk wie der / die Domain-Controller, würde ich ihn definitiv zur Domain hinzufügen - da dies offensichtlich einen hohen Grad an Verwaltbarkeit mit sich bringt. Allerdings würde ich mich normalerweise bemühen, Webserver in eine DMZ zu integrieren, um die Sicherheit zu erhöhen - was den Zugriff auf die Domain ohne Pinholes unmöglich macht (und das ist eine sehr schlechte Idee!)

Wie bereits erwähnt, sollten Benutzer, die öffentlich zugänglich sind und keine Authentifizierung für das Verzeichnis benötigen, nicht in die Domäne aufgenommen werden.

Sollten Sie jedoch eine Art Authentifizierung oder Nachschlagen von Informationen von AD benötigen, prüfen Sie möglicherweise, ob Active Directory Application Mode ( ADAM ) in der DMZ ausgeführt wird. Möglicherweise müssen Sie die relaventen Informationen aus AD in die Applicaton-Partition replizieren, da ADAM die Standard-AD-Partitionen nicht synchronisiert.

Wenn Sie jedoch nur nach Verwaltungsfunktionen suchen, wird ADAM nicht angewendet.