您更喜欢在作为更大组织的 AD 一部分的 DMZ 内运行他们的 IIS 网络服务器,还是更愿意牺牲管理的便利性和用户对(可能感知到的)安全性的控制?
我们目前在域外运行我们的 IIS 机器,这使我们能够与我们的防火墙保持单向规则(除 1 个 SQL 端口外,没有从 DMZ 到 LAN 的流量)。但是,这意味着我现在必须使用非 AD 身份验证并手动跨框同步密码。
哪个更安全?
AskOverflow.Dev
您更喜欢在作为更大组织的 AD 一部分的 DMZ 内运行他们的 IIS 网络服务器,还是更愿意牺牲管理的便利性和用户对(可能感知到的)安全性的控制?
我们目前在域外运行我们的 IIS 机器,这使我们能够与我们的防火墙保持单向规则(除 1 个 SQL 端口外,没有从 DMZ 到 LAN 的流量)。但是,这意味着我现在必须使用非 AD 身份验证并手动跨框同步密码。
哪个更安全?
你可以两全其美。AD LDS 可以与您的域实施和联合,请参阅本文以获取概述
我们有现成的产品,要求我们在域 IIS 服务器上运行软件。更重要的是,我们拥有的至少一个 OTS 包被设计为面向互联网并且需要被域化。有些人可能会称这是一个设计不佳的应用程序,但我们必须使用它,所以这个问题有点没有实际意义。
我们在域中运行我们的 IIS 服务器——它们自己的域。当应用程序池身份和服务在域帐户中运行时,控制对不同机器上共享文件、数据和其他资源的访问要容易得多。它们是该模型的安全性、可扩展性和易用性优势。我想不出将 IIS 服务器放在一个难以管理的域中的任何风险。