Windows WebサーバーはActive Directoryドメインのメンバーである必要があります

セキュリティと管理性の観点から-ベストプラクティスとは何ですか？

Webサーバーが必要

• Active Directoryドメインに追加および管理されます

または

• 「リソースサーバー」アクティブディレクトリとは別の「Webサーバー」ワークグループに参加しますか？

Webサーバーにユーザーアカウントが存在する必要はなく、管理アカウント（サーバー管理、システムレポート、コンテンツ展開など）のみが必要です。

Kerberos委任を使用してセキュリティで保護されたインフラストラクチャを構築する場合（および必要な場合）、これらのWebサーバーをドメインに参加させる必要があります。Webサーバー（またはサービスアカウント）には、SQLサーバーに対するユーザーの偽装を許可するために、割り当てられた委任機能が必要です。

データアクセス（HIPAA、SOXなど）を追跡するための監査または法的要件がある場合は、SQLサーバーでSQLベースの認証を使用しないでください。プロビジョニングプロセスを通じてアクセスを追跡する必要があります。どのグループ、どのように承認されたのか、誰によって）およびデータへのすべてのアクセスは、ユーザーの割り当てられたアカウントを介して行われる必要があります。

以下のためにADへのアクセスに関連DMZ上の問題、あなたは読み取り専用DC（RODC）を使用してServer 2008でそのいくつかを解決することができますが、DMZに配置するとリスクが依然として存在しています。DCが特定のポートを使用してファイアウォールを通過させるように強制する方法もいくつかありますが、このタイプのカスタマイズは認証問題のトラブルシューティングを困難にする可能性があります。

インターネットとイントラネットの両方のユーザーが同じアプリケーションにアクセスできるようにする特定のニーズがある場合は、Microsoftの製品またはPing FederatedのようなFedereated Services製品のいずれかを使用する必要があります。

内部使用、絶対に。こうすることで、GPOによって管理され、修正プログラムの適用はそれほど難しくなく、多くの回避策なしで監視を実現できます。

DMZでは、一般的にいいえとアドバイスしますが、DMZ上にあるべきではありません。それらがドメイン上およびDMZ内にある場合、実行する問題は、Webサーバーが少なくとも1つのDCに戻る特定の接続を持たなければならないことです。したがって、外部の攻撃者がWebサーバーを侵害した場合、DCの1つに対する攻撃を直接開始できるようになりました。DCを所有し、ドメインを所有します。ドメインを所有し、フォレストを所有します。

DMZにWebサーバーのドメインがないのはなぜですか？

メインドメインのWSのドメインに許可を与えることなく、メインドメインからドメインを管理するための、一方向の信頼関係を持つ別のフォレストにすることもできます。

AD / WSUS / GPOのすべての喜び-ファーム全体を所有している場合に特に便利です-侵害された場合、メインネットワークではありません。

ウェブサーバーがドメインコントローラーと同じネットワーク上にある場合、私は間違いなくそれをドメインに追加します-これにより明らかに管理性が大幅に追加されます。しかし、私は通常、セキュリティを高めるためにDMZにWebサーバーを配置しようと努力します。これにより、ピンホールなしではドメインにアクセスできなくなります（これは非常に悪い考えです！）。

他の人が述べたように、これらが公開されており、ディレクトリに対してユーザーを認証する必要がない場合は、ドメインに入れないでください。

ただし、何らかの認証またはADからの情報の検索が必要な場合は、DMZで実行中のActive Directory Application Mode（ADAM）を調べてください。ADAMは標準のADパーティションを同期しないため、ADからの関連情報をApplicatonパーティションに複製する必要がある場合があります。

ただし、管理機能だけを探している場合は、ADAMは適用されません。