Sollten sich Produktions-Windows-Webserver (IIS & SQL) in einer Domäne befinden?

7

Wir haben einige Webserver und einige Datenbankserver. Bisher waren sie eigenständige Computer, die nicht Teil einer Domäne sind. Die Webserver kommunizieren nicht miteinander, und die Webserver kommunizieren über SQL Auth mit den Datenbankservern.

Mein Anliegen war es, die Maschinen in einer Domäne zusammenzustellen

  1. zusätzliche Komplexität - es ist eine weitere "Sache", die läuft und "Dinge" tut, die schief gehen könnten.
  2. Risiko - Wenn ein Domänencontroller ausfällt, setze ich jetzt andere Computer einem Risiko aus?

In bestimmten Szenarien erscheint es jedoch zweckmäßig, dass sie sich in einer Domäne befinden und Anmeldeinformationen gemeinsam nutzen. Wenn ich beispielsweise den "Diensten" auf einem Computer Zugriff auf einen anderen Computer gewähren möchte (weil Remotedesktop ausfällt ), muss ich auf mehreren Computern Berechtigungen zuweisen - etwas, auf das Active Directory- und Domänenkonten meiner Meinung nach eingestellt sind vereinfachen.

Meine Frage: Ich bin sicher, dass es Dinge gibt, über die ich hier nicht nachdenke. Gibt es eine bewährte Methode?

windows  configuration 
Tom Lianza
quelle
2
1. Wie erhöht der Beitritt zur Domain die Komplexität? Ist es noch eine Sache? Laufen sie nicht schon? Wie funktionieren sie, wenn sie noch nicht laufen? Wie ändert sich durch den Beitritt zur Domain der aktuelle Status? 2. Wie gefährdet ein ausgefallener / fehlerhafter DC die anderen Maschinen? In Gefahr von was?
Joeqwerty
Eine weitere Sache läuft = Prozess, nicht Maschine. Fehlerhafte DC-Gefährdung von Maschinen = vermutlich ein externer Dienst, der für die Authentifizierung verantwortlich ist und keine Konten mehr validieren kann.
Tom Lianza

Antworten:

10

The Powers That Be kann natürlich die Dinge klären, aber das gesamte StackOverflow-Netzwerk wird auf IIS-Servern mit einem SQL-Back-End in einer Active Directory-Domäne ausgeführt. Ich würde sagen, es funktioniert gut.

  • zusätzliche Komplexität - es ist eine weitere "Sache", die läuft und "Dinge" tut, die schief gehen könnten.

Manchmal können Sie durch Hinzufügen von Komplexität einige entfernen. Insbesondere wenn Sie sich Sorgen um eine Skalierung machen, kann eine Domäne das Hinzufügen von Servern, das Ändern der Konfiguration und eine Reihe von Dingen erheblich erleichtern. Gruppenrichtlinien und zentral verwaltete Skripte können erstaunliche Dinge bewirken, um Ihr Leben zu erleichtern.

  • Risiko - Wenn ein Domänencontroller ausfällt, setze ich jetzt andere Computer einem Risiko aus?

Aus diesem Grund verfügen Sie über zwei Domänencontroller, die nicht über das Internet erreichbar sind. Wenn jemand in Ihre Site eindringt, sind Sie sowieso ziemlich abgespritzt. Aus diesem Grund ist es eine sehr gute Idee, Ihre AD-Domain nach Möglichkeit nur für Ihre Anwendungsumgebung zu verwenden.

Und schließlich gestaltet Microsoft seine Umgebung so, dass sie in AD funktioniert. Die Kommunikation zwischen Servern ist sowohl einfacher als auch sicherer, wenn AD beteiligt ist, um die Authentifizierung zu vermitteln und die sichere Protokollnutzung zu fördern.

sysadmin1138
quelle
0

Denken Sie nicht nur an die Kosten von AD, sondern auch an die zusätzlichen Kosten

  • Zentralisierte Kontoverwaltung
  • Fähigkeit , konsistente Sicherheitsrichtlinien festzulegen und durchzusetzen
  • Möglichkeit zur Zentralisierung von Softwarebereitstellungen
  • Möglichkeit zur Automatisierung der tatsächlichen Installation des Betriebssystems

All diese Dinge können die Komplexität reduzieren und die Sicherheit auf einer Online-Site verbessern. Durch die Zentralisierung von Dingen erleichtern Sie hoffentlich die konsistente Bereitstellung.

Das ist natürlich nicht gleichbedeutend mit einer korrekten / sicheren Bereitstellung, aber es bedeutet, dass Sie, sobald Sie herausgefunden haben, was eine korrekte / sichere Bereitstellung bedeutet, diese nur einmal auf Ihrem zentralen Betriebssystem-Image und Ihren Einstellungen richtig machen müssen, und das kann auch so sein konsequent auf neue Server verschoben. Nützlich sowohl für die Erweiterung Ihrer Systeme, falls Sie dies tun müssen, als auch für die Erstellung von Test- / Entwicklungsumgebungen, die mit dem Produktionsnetzwerk identisch sind.

Wenn die meisten Ihrer Probleme auf Fehler zurückzuführen sind (und für die meisten von uns auch), erleichtert AD die Automatisierung und gemeinsame Nutzung von Ressourcen und verringert die Wahrscheinlichkeit, diese Fehler zu machen.

Wir haben alle unsere Server in einer Domäne, in der ich arbeite, aus den oben genannten Gründen (eine von der LAN-Seite getrennte Domäne). Natürlich birgt auch dieser Ansatz Risiken und Kosten. Sie müssen beide Seiten berücksichtigen und eine ausgewogene Entscheidung treffen.

Rob Moir
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.