Quais são os problemas e armadilhas com um Active Directory voltado para o público

Navegue suas respostas
2

A situação que enfrento é a seguinte: planejamos usar vários aplicativos de servidor hospedados em máquinas Amazon EC2, principalmente o Microsoft Team Foundation Server. Esses serviços dependem muito do Active Directory. Como os nossos servidores estão na nuvem da Amazon, não é preciso dizer (mas eu vou) que todos os nossos usuários são remotos.

Parece que não podemos configurar a VPN em nossa instância do EC2 - para que os usuários tenham que ingressar no domínio, diretamente pela Internet, eles poderão se autenticar e, uma vez autenticados, usar esse token para acessar os recursos como o TFS.

na instância DC, posso desligar todas as portas, exceto as necessárias para ingressar / autenticar no domínio. Também posso filtrar o IP nessa máquina para apenas o endereço em que estamos esperando que nossos usuários estejam (é um grupo pequeno)

Nos servidores de aplicativos baseados na web, imagino que tudo que precisamos abrir é a porta 80 (ou 8080 no caso do TFS)

Um dos problemas que enfrento é o nome de domínio a ser usado para esse diretório ativo. Devo ir com "ourDomainName.com" ou "OurDomainName.local" Se eu escolher o último, isso não significa que eu vou ter que fazer com que todos os nossos usuários alterem seu endereço DNS para apontar para o nosso servidor, para que ele possa resolver o nome do domínio (acho que eu também poderia distribuir um arquivo host)

Talvez haja outra alternativa que esteja completamente ausente.

    
por Ralph Shillington 12.05.2010 / 21:08

1 resposta

5

Você tem duas preocupações ortogonais.

re: naming - nunca nomeei um nome de domínio do Active Directory após o domínio de segundo nível (por exemplo, "OurDomainName.com"). Este tem sido o assunto de discussão religiosa aqui, sobre o qual você pode se preparar em:

Eu não usaria ".local" (mesmo que a Microsoft tenha - ".local" tem "bagagem" associada a ele por causa do protocolo ZeroConf).

Pessoalmente, uso a convenção "ad.domain.com". Supondo que você delegue o DNS para o subdomínio "anúncio" em um servidor DNS em execução nos seus DCs, você pode coexistir seu namespace do AD com seu namespace DNS voltado para o público sem problemas.

re: security - Você pode querer considerar o uso de uma política IPSEC em seus DCs, se não em todos os computadores membros do seu domínio, para autenticar e criptografar as comunicações entre seus computadores clientes e seus DCs. A adesão ao domínio, inicialmente, será um pouco difícil, mas certamente não impossível. Se seus clientes forem baseados no Windows 7, você provavelmente poderá aproveitar o novo Junção de domínio offline functionaltiy para tornar isso ainda mais fácil.

    
por 12.05.2010 / 21:46

Tags

Como eu sei de antemão se o VC6 ou VC9 me serve ao instalar o PHP para windows? Tempo de Processador do Perfmon% versus uso da CPU do gerenciador de tarefas