主页 / server / 问题 / 53782
Accepted
mson
Asked: 2009-08-14 06:42:52 +0800 CST

是否应该在活动目录服务器上允许其他功能

  • 772

过去建议域服务器不包含其他功能。

CEO 和外部 IT 公司不断提出他们希望将这些服务器用于其他功能 - 例如 FTP/Mail/等。

是否改进了安全性以使这种情况正常?我对 CEO 的建议并不感到惊讶,但我对外部 IT 公司会提出这样的建议感到惊讶。我就这么落伍了吗?

域服务器的入侵似乎如此严重,以至于我将这些机器完全锁定。

编辑 - 感谢您的回复

听起来事情没有改变,不应该在 DC 上安装任何东西。我对外部 IT 组织的建议感到非常困惑。他们都建议这没关系。

windows domain-controller

12 个回答

  1. Best Answer

    我的观点是,DC 就是 DC,没有其他内容。这些是您组织中最重要的服务器,如果其中一个出现问题,您可能会在不知不觉中失去一切。任何认为“该服务器没有做太多事情,让我们在其上加载尽可能多的额外角色”的人都忽略了这一点,并且可能不知道他们在说什么。

    还有一个考虑是 DC 没有本地账户;如果没有本地帐户,第三方软件可能无法正常运行,并且您可能还会发现其中一些软件需要在管理员上下文中运行才能正常工作。你会让需要在管理上下文中运行的第三方软件到 DC 上吗?尤其是考虑到这通常表明开发人员草率地走上了阻力最小的道路,而不是做了?这个由马虎的开发人员制作的软件将能够对您的整个网络做任何事情。(注意:我在这里不是在谈论硬性规定,比如你可能别无选择的备份代理。)

    只读 DC 完全是另一回事。在这种情况下,我会放宽“没有别的办法”的政策,但仍会保持一定的谨慎态度。

    • 8

  2. 这里是一个很好的项目符号列表,说明为什么不将 Exchange 2003(邮件)放在 DC 上。除了包含的 VM 之外,我不会将 FTP 放在任何东西上,因为它很旧,而且非常糟糕。

    我的投票:

    坚守阵地

    • 4

  3. 从您的 IT 纯粹主义者的角度来看,我同意,DC 应该只是 DC。您的业​​务有多大?您有多少个 DC?如果你的小,那么它可能不是这样的罪过。Small Business Server 是一个盒子里所有东西的完美例子,MS 最多支持 75 个用户的配置!

    外部 IT 公司显然从你的 CEO 那里得到了诸如“我们买不起更多的 IT 硬件”之类的信息,这就是他们建议 DC 的原因。它们通常有足够的容量并且未得到充分利用。从您的 CEO 的角度来看,这是省钱的好方法!

    在我看来,你有两个选择:

    1. 让 CEO 相信,将 DC 用于其他服务的风险和不利因素是我可以提出的一些建议:登录时间变慢、互联网速度变慢(DNS 解析)、整个域的安全风险,这可能意味着有人控制Active Directory 中的每台计算机。
    2. 虚拟化部分/全部域控制器以释放硬件用于其他目的。显然,您不想将所有 DC 虚拟化到一个物理盒子上。
    • 4

  4. 我不会像 Exchange 或 SQL 那样在上面放任何太“重”的东西,也不会放在任何面向 DMZ/客户端的东西上,但它应该能够处理较小的面向内部的服务,比如充当打印服务器、内部 Web、ftp 等。

    • 3

  5. 除了安全性之外,您希望每台服务器一个功能的原因之一是确保业务没有不必要的中断——也就是说,如果您必须重新启动文件服务器,为什么还必须重新启动交换服务器?但是,为每个功能配备单独的服务器可能会非常昂贵,尤其是对于小型企业而言。虚拟机很棒,但它们仍然需要许可证。

    有些事情可能没什么大不了 - 是的,理想情况下,您应该有一个单独的 DHCP 服务器(两个用于冗余)和单独的 DNS 服务器和单独的......你明白了......但这并不少见,也很少成为问题让 DC 也运行 DHCP 和 DNS。

    您组合的内容取决于它们的组合可能会对您产生多大的影响。将 DHCP、DNS 和 AD 结合起来可能几乎没有影响。结合 Exchange、SQL、AD 和 IIS 可能会产生巨大的影响。

    正如我之前提到的,VM 很棒,但它们仍然存在于成为单点故障的服务器上(除非您将它们正确地集群在冗余 SAN 上……但是您的成本很容易进入 5 位数的范围…… 。 也许更多。

    至于将 Exchange 放在 DC 上 - 一般来说,建议您不要这样做。SBS 和 EBS 是例外。它是受支持的配置,但通常不是“最佳实践”配置。

    • 3

  6. 地狱。不,不惜一切代价抵制。

    • 2

  7. 我同意这一点上的“不”。一旦有人利用了分层产品/应用程序漏洞,他们就可以访问您的 AD 文件,这比期望的要多一点。大多数黑客攻击都发生在内部......

    • 2

  8. 在过去的几年里,我不得不处理奇怪的受损成员服务器。攻击者机器人工具包做的第一件事就是吸取本地密码哈希。彩虹表显然在使用中,因为我看到哈希提取和密码明文版本之间的时间戳相差 15 分钟。这是 3 年前的事了。

    像在域控制器上的妥协会给攻击者整个 AD 哈希列表。除非您在几年前完全禁用 LM 密码哈希,否则这将完全破坏长度小于 14(或 16 个,不记得是哪个)字符的任何密码。不管复杂程度。这是一个统计数据,您可以将其提供给上级,以防御除 DC/DNS(如果需要,还可以是 WINS)以外的所有内容远离域控制器。

    • 2

  9. 一般来说,规则是否定的,这是一个有效的规则 PHB 很容易希望未充分利用的系统更物有所值,但是 DC 就是 DC,它应该保持不变

    域控制器可能很难在最好的时候进行故障排除,再加上附加的服务,你真的需要一个 PITA

    您列出的一些服务是绝对不允许的,虽然 DC 通常在除大型企业之外的任何其他系统中都是一个未充分利用的系统,但它仍然是公司中最重要的盒子之一

    你考虑过虚拟化吗?您是想最大限度地利用硬件还是尽量减少软件许可成本?

    DC 需要 Windows 许可证,嗯,他们都需要,你至少有两个吧?

    如果这是硬件利用率问题,您应该真正考虑虚拟化,DC 是虚拟化的主要候选者,您可以轻松处理大多数 DC 的负载和少数虚拟主机上的附加服务

    借助在虚拟系统上使用 Microsoft 的数据中心版许可优势,在适当的情况下,您也可以真正降低许可成本

    • 2

  10. 不...尤其不是任何现代版本的 Exchange,它应该根据规模在多个独立服务器上运行。另外,升级时会发生什么?您想将 DC 升级到 2008,但您的应用程序不支持它。绝对保持它们分开和清洁。

    • 2

相关问题