Windows 웹 서버가 Active Directory 도메인의 구성원이어야 함

보안 및 관리 효율성 측면에서 모범 사례는 무엇입니까?

웹 서버

• Active Directory 도메인에 추가 및 관리

또는

• '리소스 서버'활성 디렉토리와 분리 된 '웹 서버'작업 그룹의 일부입니까?

웹 서버에 사용자 계정이있을 필요는 없으며 관리 계정 (서버 관리, 시스템보고, 컨텐츠 배포 등) 만 있습니다.

Kerberos 위임을 사용하여 보안 인프라 (및 사용자)를 구축하려면 해당 웹 서버를 도메인에 가입시켜야합니다. 웹 서버 (또는 서비스 계정)는 SQL 서버에 대한 사용자 가장을 허용하기 위해 할당 된 위임 기능이 필요합니다.

데이터 액세스 추적 (HIPAA, SOX 등)을 추적하기위한 감사 또는 법적 요구 사항이있는 경우 SQL 서버에서 SQL 기반 인증을 사용하지 않는 것이 좋습니다. 프로비저닝 프로세스를 통해 액세스를 추적해야합니다 (예 : 어떤 그룹, 승인 된 방법 및 누구에 의해) 및 모든 데이터 액세스는 사용자의 할당 된 계정을 통해 이루어져야합니다.

AD 액세스와 관련된 DMZ 문제의 경우 RODC (읽기 전용 DC)를 사용하여 Server 2008에서 일부 문제를 해결할 수 있지만 여전히 DMZ에 배포 할 위험이 있습니다. DC가 특정 포트를 사용하여 방화벽을 통과하도록하는 방법도 있지만 이러한 유형의 차단은 인증 문제를 해결하기 어렵게 만들 수 있습니다.

인터넷 및 인트라넷 사용자 모두가 동일한 응용 프로그램에 액세스하도록 허용해야하는 특정 요구 사항이있는 경우 Microsoft 제품 또는 Ping Federated와 같은 Federeated Services 제품 중 하나를 사용해야합니다.

절대적으로 내부 사용. 이렇게하면 GPO에서 관리 할 수 ​​있고 패치 적용이 어렵지 않으며 많은 해결 방법없이 모니터링을 수행 할 수 있습니다.

DMZ에서는 일반적으로 아니오라고 조언합니다. DMZ에 있지 않아야합니다. 도메인과 DMZ에있는 경우 웹 서버는 하나 이상의 DC에 특정 연결이 다시 연결되어 있어야합니다. 따라서 외부 공격자가 웹 서버를 손상 시키면 DC 중 하나에 대한 공격을 직접 시작할 수 있습니다. DC를 소유하고 도메인을 소유하십시오. 도메인을 소유하고 포리스트를 소유하십시오.

DMZ에 웹 서버 도메인이없는 이유는 무엇입니까?

기본 도메인의 WS 도메인에 대한 권한을 부여하지 않고 기본 도메인에서 도메인을 관리하기위한 단방향 트러스트 관계가있는 별도의 포리스트 일 수 있습니다.

AD / WSUS / GPO의 모든 즐거움-특히 전체 팜이있는 경우 유용하며 손상된 경우 기본 네트워크가 아닙니다.

웹 서버가 도메인 컨트롤러와 동일한 네트워크에있는 경우 도메인에 추가 할 것입니다. 이는 상당히 많은 관리 효율성을 추가하기 때문입니다. 그러나 일반적으로 웹 서버를 DMZ에 배치하여 보안을 강화하려고 노력합니다. 핀홀없이 도메인에 액세스 할 수 없게 만듭니다 (매우 나쁜 생각입니다)!

다른 사람이 언급 한 것처럼 이러한 공공 직면을하고있는 디렉토리에 대한 사용자 인증을 필요로하지 않는 경우, 다음 않습니다 하지 도메인에 넣어.

그러나 AD에서 일종의 인증 또는 정보 조회가 필요한 경우 DMZ에서 ADAM (Active Directory Application Mode )을 실행하는 것이 좋습니다. ADAM은 표준 AD 파티션을 동기화하지 않으므로 AD에서 관련 파티션 정보를 Applicaton 파티션으로 복제해야 할 수도 있습니다.

관리 기능 만 찾고 있다면 ADAM이 적용되지 않습니다.