Windows WebサーバーをActive Directoryドメインのメンバーにする必要があります
セキュリティと管理性の観点から-ベストプラクティスとは何ですか?
Webサーバー
- Active Directoryドメインに追加され、Active Directoryドメインから管理される
または
- 「リソースサーバー」のアクティブディレクトリとは別の「Webサーバー」ワークグループに参加していますか?
Webサーバーにユーザーアカウントが存在する必要はなく、管理アカウント(サーバー管理、システムレポート、コンテンツの展開など)のみが必要です。
Kerberos委任を使用して安全なインフラストラクチャを構築する場合は(そしてあなたが行う場合)、それらのWebサーバーをドメインに参加させる必要があります。 SQLサーバーに対するユーザーの偽装を許可するには、Webサーバー(またはサービスアカウント)に割り当てられた委任機能が必要です。
データアクセス(HIPAA、SOXなど)を追跡するための監査または法的要件がある場合は、SQLサーバーでSQLベースの認証を使用しないでください。プロビジョニングプロセスを通じてアクセスを追跡する必要があります(つまり、どのグループ、それがどのように承認されたのか、誰によって)、およびデータへのすべてのアクセスは、ユーザーの割り当てられたアカウントを通じて行われる必要があります。
ADへのアクセスに関連するDMZの問題 の場合、読み取り専用DC(RODC)を使用してServer 2008で問題の一部を解決できますが、展開には依然としてリスクがありますDCで特定のポートを使用してファイアウォールを通過するように強制する方法もいくつかありますが、このタイプのカスタマイズは、認証の問題のトラブルシューティングを困難にする可能性があります。
インターネットユーザーとイントラネットユーザーの両方に同じアプリケーションへのアクセスを許可する特定のニーズがある場合は、Microsoftの製品またはPing FederatedなどのFedereated Services製品のいずれかを使用する必要があるかもしれません。
絶対に内部で使用します。これにより、GPOによる管理が可能になり、パッチの適用はそれほど難しくなく、一連の回避策なしで監視を実行できます。
DMZでは、一般的には「いいえ」とアドバイスします。DMZに配置しないでください。それらがドメイン上およびDMZ内にある場合、実行時に発生する問題は、Webサーバーが少なくとも1つのDCに特定の接続を持つ必要があることです。したがって、外部の攻撃者がWebサーバーを危険にさらした場合、彼または彼女はDCの1つに対して直接攻撃を開始することができます。 DCを所有し、ドメインを所有します。ドメインを所有し、フォレストを所有します。
DMZにWebサーバーのドメインがないのはなぜですか?
メインドメインのWSのドメインに権限を与えずにメインドメインからドメインを管理する一方向の信頼関係を持つ別のフォレストにすることもできます。
AD/WSUS/GPOのすべての喜び-特にファーム全体を所有している場合に役立ちます-侵害されている場合、それはメインネットワークではありません。
Webサーバーがドメインコントローラーと同じネットワーク上にある場合は、ドメインに確実に追加します。これにより、管理性が大幅に向上します。ただし、私は通常、セキュリティを向上させるためにWebサーバーをDMZ=に配置するように努めています-これにより、ピンホールなしではドメインへのアクセスが不可能になります(これは非常に悪い考えです!)
他の人が述べたように、これらが一般向けであり、ディレクトリに対してユーザーを認証する必要がない場合は、notをドメインに配置します。
ただし、何らかの認証やADからの情報の検索が必要な場合は、DMZでActive Directoryアプリケーションモード( [〜#〜] adam [〜#〜] )を実行することを検討してください。 ADAMは標準のADパーティションを同期しないため、関連情報をADからアプリケーションパーティションに複製する必要がある場合があります。
ただし、管理機能を探しているだけの場合、ADAMは適用されません。