Wir haben einige Webserver und einige Datenbankserver. Bisher waren sie eigenständige Computer, die nicht Teil einer Domäne sind. Die Webserver kommunizieren nicht miteinander, und die Webserver kommunizieren über SQL Auth mit den Datenbankservern.
Mein Anliegen war es, die Maschinen in einer Domäne zusammenzustellen
- zusätzliche Komplexität - es ist eine weitere "Sache", die läuft und "Dinge" tut, die schief gehen könnten.
- Risiko - Wenn ein Domänencontroller ausfällt, setze ich jetzt andere Computer einem Risiko aus?
In bestimmten Szenarien erscheint es jedoch zweckmäßig, dass sie sich in einer Domäne befinden und Anmeldeinformationen gemeinsam nutzen. Wenn ich beispielsweise den "Diensten" auf einem Computer Zugriff auf einen anderen Computer gewähren möchte (weil Remotedesktop ausfällt ), muss ich auf mehreren Computern Berechtigungen zuweisen - etwas, auf das Active Directory- und Domänenkonten meiner Meinung nach eingestellt sind vereinfachen.
Meine Frage: Ich bin sicher, dass es Dinge gibt, über die ich hier nicht nachdenke. Gibt es eine bewährte Methode?
quelle
Antworten:
The Powers That Be kann natürlich die Dinge klären, aber das gesamte StackOverflow-Netzwerk wird auf IIS-Servern mit einem SQL-Back-End in einer Active Directory-Domäne ausgeführt. Ich würde sagen, es funktioniert gut.
Manchmal können Sie durch Hinzufügen von Komplexität einige entfernen. Insbesondere wenn Sie sich Sorgen um eine Skalierung machen, kann eine Domäne das Hinzufügen von Servern, das Ändern der Konfiguration und eine Reihe von Dingen erheblich erleichtern. Gruppenrichtlinien und zentral verwaltete Skripte können erstaunliche Dinge bewirken, um Ihr Leben zu erleichtern.
Aus diesem Grund verfügen Sie über zwei Domänencontroller, die nicht über das Internet erreichbar sind. Wenn jemand in Ihre Site eindringt, sind Sie sowieso ziemlich abgespritzt. Aus diesem Grund ist es eine sehr gute Idee, Ihre AD-Domain nach Möglichkeit nur für Ihre Anwendungsumgebung zu verwenden.
Und schließlich gestaltet Microsoft seine Umgebung so, dass sie in AD funktioniert. Die Kommunikation zwischen Servern ist sowohl einfacher als auch sicherer, wenn AD beteiligt ist, um die Authentifizierung zu vermitteln und die sichere Protokollnutzung zu fördern.
quelle
Denken Sie nicht nur an die Kosten von AD, sondern auch an die zusätzlichen Kosten
All diese Dinge können die Komplexität reduzieren und die Sicherheit auf einer Online-Site verbessern. Durch die Zentralisierung von Dingen erleichtern Sie hoffentlich die konsistente Bereitstellung.
Das ist natürlich nicht gleichbedeutend mit einer korrekten / sicheren Bereitstellung, aber es bedeutet, dass Sie, sobald Sie herausgefunden haben, was eine korrekte / sichere Bereitstellung bedeutet, diese nur einmal auf Ihrem zentralen Betriebssystem-Image und Ihren Einstellungen richtig machen müssen, und das kann auch so sein konsequent auf neue Server verschoben. Nützlich sowohl für die Erweiterung Ihrer Systeme, falls Sie dies tun müssen, als auch für die Erstellung von Test- / Entwicklungsumgebungen, die mit dem Produktionsnetzwerk identisch sind.
Wenn die meisten Ihrer Probleme auf Fehler zurückzuführen sind (und für die meisten von uns auch), erleichtert AD die Automatisierung und gemeinsame Nutzung von Ressourcen und verringert die Wahrscheinlichkeit, diese Fehler zu machen.
Wir haben alle unsere Server in einer Domäne, in der ich arbeite, aus den oben genannten Gründen (eine von der LAN-Seite getrennte Domäne). Natürlich birgt auch dieser Ansatz Risiken und Kosten. Sie müssen beide Seiten berücksichtigen und eine ausgewogene Entscheidung treffen.
quelle