উইন্ডোজ ওয়েব সার্ভারগুলি একটি সক্রিয় ডিরেক্টরি ডোমেনের সদস্য হওয়া উচিত


14

সুরক্ষা এবং পরিচালনার ক্ষেত্রে - সর্বোত্তম অনুশীলন কী?

ওয়েব সার্ভার করা উচিত

  • একটি সক্রিয় ডিরেক্টরি ডোমেন থেকে যুক্ত এবং পরিচালনা করা হবে

অথবা

  • 'রিসোর্স সার্ভার' সক্রিয় ডিরেক্টরি থেকে পৃথক কোনও 'ওয়েব সার্ভার' ওয়ার্কগ্রুপের অংশ হন?

ওয়েব সার্ভারে কেবলমাত্র অ্যাকাউন্ট অ্যাকাউন্ট (সার্ভার ম্যানেজমেন্ট, সিস্টেম প্রতিবেদনকরণ, বিষয়বস্তু স্থাপন ইত্যাদি) থাকার দরকার নেই


এই ওয়েবসার্ভারগুলি কোনও কলোতে বা আপনার অফিসের কোনও ডিএমজেডে রয়েছে?
রব বার্গিন

উত্থাপন করার জন্য ভাল পয়েন্ট। সার্ভারগুলি আমাদের নিজস্ব সার্ভার রুমে আমাদের নিজস্ব নিয়ন্ত্রণের মধ্যে রয়েছে।
ডেভিড

উত্তর:


8

আপনি যদি নিরাপদ অবকাঠামো (এবং আপনি না) তৈরি করতে কার্বেরোস প্রতিনিধি ব্যবহার করতে চান তবে আপনাকে সেই ওয়েব সার্ভারগুলিতে ডোমেনে যোগ দিতে হবে। আপনার এসকিউএল সার্ভারের বিরুদ্ধে ব্যবহারকারীর ছদ্মবেশে অনুমতি দেওয়ার জন্য ওয়েব সার্ভার (বা পরিষেবা অ্যাকাউন্ট) এর জন্য এটি অর্পণ করার ক্ষমতা প্রয়োজন হবে।

আপনি সম্ভবত এসকিউএল সার্ভারে এসকিউএল-ভিত্তিক প্রমাণীকরণ ব্যবহার করা থেকে দূরে থাকতে চান আপনার যদি ডেটা অ্যাক্সেস (HIPAA, SOX, ইত্যাদি) ট্র্যাকিংয়ের জন্য কোনও নিরীক্ষণ বা আইনী প্রয়োজনীয়তা থাকে তবে আপনার প্রভিশন প্রক্রিয়াটির মাধ্যমে আপনার অ্যাক্সেস ট্র্যাক করা উচিত (যেমন কে আছেন কী গোষ্ঠীগুলি, কীভাবে তা অনুমোদিত হয়েছিল এবং কাদের দ্বারা) এবং ডেটাতে সমস্ত অ্যাক্সেস ব্যবহারকারীর নির্ধারিত অ্যাকাউন্টের মাধ্যমে হওয়া উচিত।

জন্য খ্রি অ্যাক্সেস এর সাথে সম্পর্কিত DMZ বিষয় , আপনি একটি শুধুমাত্র-পঠনযোগ্য ডিসি (RODC) ব্যবহার করে সার্ভার 2008 সঙ্গে যে কিছু সমাধান করতে পারেন কিন্তু এখনও DMZ মধ্যে মোতায়েন সঙ্গে ঝুঁকি। ফায়ারওয়ালের মাধ্যমে ঘুষি দেওয়ার জন্য কোনও ডিসিকে নির্দিষ্ট পোর্টগুলি ব্যবহার করতে বাধ্য করার কিছু উপায় রয়েছে, তবে এই জাতীয় কাটোমাইজেশন প্রমাণীকরণের সমস্যার সমস্যা সমাধান করতে পারে।

আপনার যদি ইন্টারনেট এবং ইন্ট্রানেট উভয় ব্যবহারকারীকে একই অ্যাপ্লিকেশনটিতে অ্যাক্সেসের অনুমতি দেওয়ার জন্য নির্দিষ্ট প্রয়োজনীয়তা থাকে তবে আপনাকে মাইক্রোসফ্ট অফার বা পিং ফেডারেটের মতো কিছু ফেডারেটেড সার্ভিস পণ্য ব্যবহার করতে হবে।


8

অভ্যন্তরীণ ব্যবহার, একেবারে। এইভাবে তারা জিপিও দ্বারা পরিচালিত হয়, প্যাচিং ততটা কঠিন নয় এবং পর্যবেক্ষণগুলি একগুচ্ছ ওয়ার্কআউন্ড ছাড়াই সম্পন্ন করা যায়।

ডিএমজেডে, সাধারণত আমি কোনও পরামর্শ দিই না, তারা ডিএমজেডে থাকা উচিত নয়। যদি সেগুলি ডোমেন এবং ডিএমজেডে থাকে তবে আপনি যে সমস্যাটি চালাচ্ছেন তা হ'ল ওয়েব সার্ভারের অবশ্যই কমপক্ষে একটি ডিসিতে অবশ্যই কিছু সংযোগ থাকতে হবে। সুতরাং, যদি কোনও বহিরাগত আক্রমণকারী ওয়েব সার্ভারের সাথে আপোস করে তবে সে এখন সরাসরি কোনও ডিসির বিরুদ্ধে আক্রমণ চালাতে পারে। ডিসির মালিক, ডোমেনের মালিক own ডোমেনের মালিক, বনের মালিক।


ধন্যবাদ কেবি এবং রব। পেরিমিটার নেটওয়ার্কে অন্য একটি এডি তৈরি করা একটি উত্তর তবে আমি ওয়েব সার্ভারগুলির জন্য একটি এডির হোস্ট হওয়ার জন্য অন্য একটি সার্ভার কিনে আমাকে ন্যায়সঙ্গত করতে পারি না। Urg। আর একটি জটিলতা হ'ল ওয়েবসার্সের অবশ্যই অভ্যন্তরীণ 'বিশ্বাসযোগ্য' নেটওয়ার্কে (যেমন এসকিউএল) কিছু ট্র্যাফিকের অনুমতি থাকতে হবে এবং এটি একটি বিশ্বস্ত নেটওয়ার্ক সংযোগ ব্যবহার করে এসকিউএল ট্র্যাফিক সুরক্ষিত। আমার ধারণা আমরা দুটি এডি এবং দুজনের মধ্যে একটি বিশ্বাসের কথা বলব?
ডেভিড

হ্যাঁ, এটি সবচেয়ে নিরাপদ রুট। আপনার কাছে ডিএমজেড ভিত্তিক সার্ভারগুলির জন্য একটি বন রয়েছে এবং এটির অভ্যন্তরীণ বনগুলিতে একতরফা বিশ্বাস রয়েছে। তবে, আমি প্রথমে এসকিউএল সার্ভার ভিত্তিক প্রমাণীকরণের অনুমতি দেওয়ার দিকে নজর দেব।
কে। ব্রায়ান কেলি

আমি সম্মতি জানাই, এই পথ চলতে হবে।
স্কুইলম্যান

6

ডিএমজেডে ওয়েবসার্ভারের ডোমেন কেন নেই?

আপনার মূল ডোমেনের জন্য ডাব্লুএস এর ডোমেনের জন্য কোনও অনুমতি ছাড়াই আপনার মূল ডোমেন থেকে ডোমেনটি পরিচালনা করার পক্ষে ওয়ান ওয়ে বিশ্বাসের সম্পর্কের সাথে এটি একটি আলাদা বন হতে পারে।

AD / WSUS / GPO- এর সমস্ত আনন্দ - বিশেষত যদি আপনার কাছে একটি সম্পূর্ণ খামার থাকে তবে দরকারী - এবং যদি এটি আপস করা হয় তবে এটি আপনার মূল নেটওয়ার্ক নয়।


1
আপনার যদি কোনও ডোমেইন ব্যবহার করতে হয় তবে এটি যেতে নিরাপদতম রুট। তবে, আপনি এখনও ডিসির উপর সরাসরি আক্রমণ পাওয়ার কথা বলছেন। এবং আপনি যে দৃশ্যে দিয়েছেন, যদি আমি সেই ডিসি পাই, যদি না আপনি ক্যাশেড শংসাপত্রগুলি না নিয়ে থাকেন তবে আমি এখনও সেগুলি টানতে পারি এবং প্রাথমিক ডোমেন / বনের বিরুদ্ধে ব্যবহার করার জন্য শংসাপত্র রাখতে পারি।
কে। ব্রায়ান কেলি

কেবি, আগ্রহের বাইরে, আপনি কি 'ক্যাশেড শংসাপত্রগুলি' বর্ণনা করতে পারেন
ডেভিড

1
আপনি এটিটি বন্ধ না করলে আপনি যখন লগইন করবেন তখন একটি উইন্ডোজ সিস্টেম পাসওয়ার্ডের শংসাপত্রগুলি (আসলে একটি হ্যাশের একটি হ্যাশ) ক্যাশে করবে। কর্পোরেট নেটওয়ার্ক থেকে দূরে থাকা অবস্থায় এটি আপনাকে ডোমেন লগইনে ল্যাপটপ রাখার এবং লগ ইন করার অনুমতি দেয়। এটি এক্সট্রাক্ট করুন, রংধনু টেবিল ব্যবহার করুন, আপনি ধারণা পাবেন।
কে। ব্রায়ান কেলি

3
যদি বিশ্বাসটি একমাত্র হয়, তবে ক্যাশেড শংসাপত্রগুলি অপ্রাসঙ্গিক কারণ ডিএমজেড সার্ভার প্রাথমিক ডোমেনের বিরুদ্ধে কখনও প্রমাণীকরণ করবে না।
জন রোয়াদস

2

যদি ওয়েবসারভারটি ডোমেন কন্ট্রোলার (গুলি) এর মতো একই নেটওয়ার্কে থাকে তবে আমি অবশ্যই এটি ডোমেনে যুক্ত করব - কারণ এটি স্পষ্টতই পরিচালনা করার এক বিশাল অংশকে যুক্ত করে। যাইহোক, আমি সুরক্ষা বাড়ানোর জন্য সাধারণত কোনও ডিএমজেডে ওয়েবসারগুলি রাখার চেষ্টা করব - যা পিনহোলগুলি ছাড়া ডোমেনে অ্যাক্সেসকে অসম্ভব করে তোলে (এবং এটি খুব খারাপ ধারণা!)


1

অন্যদের উল্লেখ করেছি যে, যদি এই প্রকাশ্য সম্মুখীন হয় এবং ডিরেক্টরিটি বিরুদ্ধে অনুমোদন ব্যবহারকারীদের প্রয়োজন হয় না, তারপর না না তাদের ডোমেনে করা।

তবে, আপনার যদি এডি থেকে কোনও ধরণের প্রমাণীকরণ বা তথ্য অনুসন্ধানের প্রয়োজন হয় তবে সম্ভবত ডিএমজেডে অ্যাক্টিভ ডিরেক্টরি অ্যাপ্লিকেশন মোড ( এডিএএম ) চালনা করা উচিত । আপনার AD থেকে প্রমিত সম্পর্কিত পার্টিশন সিঙ্ক্রোনাইজ না হওয়ায় অ্যাপ্লিকেশন পার্টিশনে AD সম্পর্কিত সম্পর্কিত তথ্য প্রতিলিপি করতে হবে।

আপনি যদি কেবল পরিচালন বৈশিষ্ট্যগুলি সন্ধান করছেন তবে অ্যাডাম প্রয়োগ হয় না।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.