Windows Web Server是否应为Active Directory域的成员

在安全性和可管理性方面-最佳实践是什么？

Web服务器应该

• 从Active Directory域添加和管理

要么

• 是否要与“资源服务器”活动目录分开的“网络服务器”工作组的一部分？

不需要在Web服务器上有用户帐户，仅需要管理帐户（服务器管理，系统报告，内容部署等）。

如果要使用Kerberos委派来构建安全的基础结构（并且可以这样做），则需要将这些Web服务器加入域中。Web服务器（或服务帐户）将需要能够委派分配给它的功能，以便允许用户模仿您的SQL Server。

如果您对跟踪数据访问（HIPAA，SOX等）有任何审核或法定要求，则您可能想避免在SQL Server上使用基于SQL的身份验证。您应该在配置过程中跟踪访问（例如谁在哪些组，如何批准以及由谁批准）以及对数据的所有访问都应通过用户分配的帐户进行。

对于与访问AD有关的DMZ问题，您可以使用只读DC（RODC）在Server 2008中解决其中的一些问题，但是部署到DMZ中仍然存在风险。还有一些方法可以强制DC使用特定的端口来刺穿防火墙，但是这种类型的定制化可能很难解决身份验证问题。

如果您有特定的允许Internet和Intranet用户访问同一应用程序的特定需求，则可能需要使用Federeated Services产品之一（Microsoft产品或类似Ping Federated的产品）进行研究。

内部使用，绝对。这样，它们就可以由GPO进行管理，打补丁就没有那么困难了，而无需大量解决方法就可以完成监视。

在DMZ中，通常我不建议这样做，不应将它们放在DMZ中。如果它们在域中和DMZ中，则您遇到的问题是Web服务器必须具有至少回到一个DC的特定连接。因此，如果外部攻击者破坏了Web服务器，则他或她现在可以直接对其中一个DC发起攻击。拥有DC，拥有域。拥有域，拥有森林。

为什么在DMZ中没有Web服务器的域？

它可能是一个具有单向信任关系的独立林，用于从您的主域管理该域，而无需为您的主域授予WS的任何权限。

AD / WSUS / GPO的所有乐趣-如果您有很多乐趣，就特别有用-如果它受到损害，则不是您的主要网络。

如果Web服务器与域控制器在同一网络上，那么我肯定会将其添加到域中-因为这显然增加了很多可管理性。但是，我通常会努力将Web服务器放置在DMZ中以提高安全性-这使得在没有针孔的情况下无法访问域（这是一个非常糟糕的主意！）

正如其他人提到的那样，如果这些是面向公众的，并且不需要根据目录对用户进行身份验证，则不要将其放在域中。

但是，如果您需要从AD进行某种身份验证或信息查找，则可以考虑在DMZ中运行Active Directory应用程序模式（ADAM）。您可能需要将AD中的相关信息复制到Applicaton分区中，因为ADAM不同步标准AD分区。

但是，如果您只是在寻找管理功能，ADAM将不适用。