我们有一些Web服务器和一些数据库服务器.到目前为止,它们一直是不属于域的独立机器. Web服务器不会相互通信,Web服务器通过sql Auth与数据库服务器通信.
我将把机器放在一个域中的担忧是
>增加了复杂性 – 这是一个“运行”的东西,并做“可能出错的”事情.
>风险 – 如果域控制器出现故障,我现在是否正在将其他机器置于风险之中?
但是,在某些情况下,他们似乎很方便在域上共享凭据.例如,如果我想让一台机器上的“服务”控件访问另一台机器(因为远程桌面craps out),我需要进入并在多台机器上分配权限 – 我相信Active Directory和域帐户设置为简化.
我的问题:我确信有些事我不在这里考虑.有最好的做法吗?
当然,Powers That Be可以澄清事情,但整个StackOverflow网络在IIS服务器上运行,在Active Directory域中具有sql后端.我说它运作良好.
- added complexity – it’s one more “thing” running,and doing “things” that could go wrong.
有时添加复杂性允许您删除一些.特别是如果您担心扩展,拥有域可以大大简化添加服务器,更改配置和任何数量的工作.组策略和集中管理的脚本可以做出惊人的事情来缓解您的生活.
- risk – if a domain controller fails,am I now putting other machines at risk?
这就是为什么你有两个域控制器,并且不能从Internet访问它们.如果有人穿透你的网站,你无论如何都会被淹没.这就是为什么如果可能的话,让AD域专门用于您的应用程序环境是一个非常好的主意.
最后,微软设计他们的环境在AD中工作.当涉及AD仲裁认证并鼓励安全协议使用时,服务器间通信更容易且更安全.