Diretório Ativo na Produção?

Question

Diretório Ativo na Produção?

#1 resposta do (2 votos)
#2 resposta do (2 votos)

2

Estamos nos preparando para implantar uma nova versão do nosso aplicativo. O ambiente de produção será dois servidores de aplicativos com carga balanceada conectando-se a dois servidores de banco de dados (configurados para espelhamento). Agora, durante os testes em nosso escritório, usamos um servidor de aplicativos e um servidor de banco de dados e a maioria da autenticação é feita usando nosso controlador de domínio. Descobrimos que a autenticação de domínio é boa e gostaria de mantê-la em produção, se possível.

Quando entramos em produção, estou tentando descobrir se faz sentido que meus dois servidores de aplicativos sejam controladores de domínio, para que a autenticação dos serviços nos servidores SQL, etc., possa usar a autenticação de domínio.

Qual é a prática comum neste tipo de situação, devo usar o Active Directory, ou há um substituto leve? O modo de grupo de trabalho é o caminho aceito? É tolice ter meus servidores de aplicativos como controladores de domínio?

active-directory windows-server-2008 sql-server-2008

por David Martin 14.09.2010 / 00:13

2 respostas

2

Is it foolish to have my app servers be domain controllers?

Claro que sim. Nunca é aconselhável expor um controlador de domínio diretamente à Internet. Seus servidores de aplicativos devem estar consultando um controlador de domínio em outra máquina (virtual ou física). Você também deve garantir que qualquer tráfego entre os servidores e o DC seja criptografado.

por 14.09.2010 / 01:22

Tags active-directory windows-server-2008 sql-server-2008

Looping através de subdiretórios Fornecedor de Tubo ou Cabo Dedicado

score 2 · Accepted Answer

Eu não faria isso, por motivos de segurança, se o nível do aplicativo fosse exposto à Internet. Em caso afirmativo, eles devem estar em uma DMZ e não podem entrar em contato direto com sua DA interna. Imagine se eles estivessem rachados e fossem DCs. Más notícias, certo? E imagine se eles não fossem DCs, mas quebrassem e pudessem ser usados para montar ataques diretamente contra contas de domínio.

Se você quiser auth no seu AD, a melhor prática é usar algo como o ADAM e a replicação do AD ou algum tipo de proxy.

Se este é um aplicativo somente interno e não está exposto à web, você pode fazer o que quiser.

Editar - Outro comentário. Se você quiser autenticação de domínio estritamente dentro do ambiente do aplicativo (sua dúvida não está clara neste ponto), então você pode configurar um AD independente dentro do seu DMZ. Se você está agrupando o SQL, acho que você precisa de um domínio para isso. Permitir que a camada de aplicativo use esse domínio para se autenticar no SQL é melhor do que permitir que ele se conecte ao seu AD interno real. A "melhor prática" sempre deve ser ponderada em relação aos benefícios e riscos do que você está tentando fazer.