none
Публичное размещение Active Directory RRS feed

  • Вопрос

  • Всем хорошего дня.

    Очень давно мучает один вопрос. Никогда так не делал. Но очень хочется его прояснить.

    Предположим есть некая площадка в неком дата центре. Ни маршрутизаторов, ни vpn на площадке перед моими узлами нет. На этой площадке есть несколько узлов с публичными ip адресами. Есть внешний хостер. У хостера приобретен хостинг dns и домен domain.org. Добавлены соответствующие A записи ссылающиеся на мои узлы на площадке. Чем мне грозит размещение Active Directory на такой площадке? Как себя поведет DHCP Server и DNS Server операционной системы Windows? Благодарю за ответы. :-)

Ответы

  • Всем хорошего дня.

    Очень давно мучает один вопрос. Никогда так не делал. Но очень хочется его прояснить.

    Предположим есть некая площадка в неком дата центре. Ни маршрутизаторов, ни vpn на площадке перед моими узлами нет. На этой площадке есть несколько узлов с публичными ip адресами. Есть внешний хостер. У хостера приобретен хостинг dns и домен domain.org. Добавлены соответствующие A записи ссылающиеся на мои узлы на площадке. Чем мне грозит размещение Active Directory на такой площадке? Как себя поведет DHCP Server и DNS Server операционной системы Windows? Благодарю за ответы. :-)

    А для какой цели вы там AD хотите развернуть? Если AD будет чисто для работы тех серверов, которые стоят на этой площадке, то никаких особых проблем. Только надо стандартные правила входящих подключений в Windows Firewall with Advanced Security донастроить (на вкладке Scope, Remote IP Address), чтобы подключения к КД (LDAP,SMB,RPC,Kerberos и т.п.) разрешались только с ваших серверов на площадке. И да, в таком случае крайне рекомендую настроить статические адреса IP вместо использования DHCP.

    А вот если вы хотите использовать развернутую на удаленной площадке AD для локальной сети офиса, то там всё сложнее. Рекомендую всё-таки для такого использования настроить site-to-site VPN. Потому как, даже если забыть про безопасность, локальная сеть у вас наверняка отделена от Интернета шлюзом с NAT, а через NAT работа всех нужных для обращения от членов домена к КД протоколов не гарантируется.

    Как именно сделать VPN - зависит от вашего оборудования, квалификации, возможностей и благожелательности хостера. Есть, например, вариант, который не требует от хостера ничего - подключение по IPsec в тоннельном режиме, но для него требуется поддержка тоннельного режима IPsec со стороны шлюза: Windows это умеет, а вот за всякие дешевые маршрутизаторы сказать трудно. Ну, и надо знать, как это сделать: это не сложно, но всё же тут требуется понимание, что именно надо сделать и аккуратная ручная настройка. А сервер DHCP в таком случае лучше разместить локально, благо практически все маршрутизаторы име.т эту функцию.


    Слава России!


Все ответы

  • все зависит от того что вы будете делать в этом дата центре

    если ад будет пустым и на хостах не будет ничего то единственный риск в этой ситуации потелять работоспособные узлы.

    с другой строны если у вас на таком ресурсе будут непропатченные ос введеные в домен и сами кд доступные извне с каким нибудь финансовым софтом (по типу 1с) со всей бухгалтерией то в таком случае ваши учетки могут взломать и попасть на другие сервера на площадке стянуть базу и либо у вас вымагать деньги за восстановление базы либо шантажировать вас в случае если ваша база может быть интересна кому-то еще кроме вас (например налоговая или конкуренты)


    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • ПРОШУ НЕ ГОЛОСОВАТЬ ЗА ЭТОТ ОТВЕТ!

    блин, сделайте себе тестовый акк на ажурке и гляньте. 

    Выпускать, тем более контроллеры голой жопой в инет - глупость несусветная, но в принципе чо нет то? это возможно. Но вот например никто, включая совсем на голову безумных хостеров, без маршрутизатора вас во внешку не пустит это два(ну если вы их их потрохами не купите). да и смысл? один фиг на другом конце провода будет чужой маршутизатор, где тот же ваш дхцп бродкаст загнется(для этого придуман ДХЦП релей агент у мелкомягких, или ИП Хелпер у тех же сисек). Внешние днсы и даже притом не маленькие, на винде видел, и даже админил(так оно исторически сложилось и сервера были не совсем в нашей компетенции).

    вообще, смысл вопроса довольно дебилен(сорри) по своей сути. вы еще спросите почему небо голубое и что будет если на траву светить зеленым цветом. Просто понимание того, что это теоретически возможно, недостаточно для того, чтоб родить хотя бы минимально жизнеспособный вариант. Почитайте книжки, поучите что нить, может что нить безумное и при этом относительно жизнеспособное и придумаете.


    • Изменено Svolotch 5 мая 2020 г. 5:12 при том (орфография)
  • Вектор, абанамат(по логам - ты)... специально для таких как ты написано! КРУПНЫМИ БУКВАМИ в самом начале...

    вопрос хреновый, формулировка более менее, уровень знаний тс - ниже плинтуса(по моим меркам, ТС не обижайся), формат вопроса охватывает сразу кучу областей.

    ну ёжкин кошкин, зла нехватает. я бы таких нахер на курсы чтоли слал или грызть учебники. от нашего ответа он, *****, ничему не научится! от вопроса и наших ответов толку ноль.

    З.Ы.

    ТС, формулируй вопросы проще и конкретно по области, чтоб тя можно было послать не нахер, а в статью или книжку

  • Приветствую.

    Посмотрите в сторону AAD 

    По мне, выставлять dc и домен в интернет - бред сивой кобылы.

    Прошу прощения за оффтоп.


    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub, Facebook, TechNet Forum Team.

    Модератор
  • Коллеги, Приветствую.

    Прошу без флуда и оффтопа.

    Надеюсь на понимание


    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub, Facebook, TechNet Forum Team.

    Модератор
  • Всем хорошего дня.

    Очень давно мучает один вопрос. Никогда так не делал. Но очень хочется его прояснить.

    Предположим есть некая площадка в неком дата центре. Ни маршрутизаторов, ни vpn на площадке перед моими узлами нет. На этой площадке есть несколько узлов с публичными ip адресами. Есть внешний хостер. У хостера приобретен хостинг dns и домен domain.org. Добавлены соответствующие A записи ссылающиеся на мои узлы на площадке. Чем мне грозит размещение Active Directory на такой площадке? Как себя поведет DHCP Server и DNS Server операционной системы Windows? Благодарю за ответы. :-)

    А для какой цели вы там AD хотите развернуть? Если AD будет чисто для работы тех серверов, которые стоят на этой площадке, то никаких особых проблем. Только надо стандартные правила входящих подключений в Windows Firewall with Advanced Security донастроить (на вкладке Scope, Remote IP Address), чтобы подключения к КД (LDAP,SMB,RPC,Kerberos и т.п.) разрешались только с ваших серверов на площадке. И да, в таком случае крайне рекомендую настроить статические адреса IP вместо использования DHCP.

    А вот если вы хотите использовать развернутую на удаленной площадке AD для локальной сети офиса, то там всё сложнее. Рекомендую всё-таки для такого использования настроить site-to-site VPN. Потому как, даже если забыть про безопасность, локальная сеть у вас наверняка отделена от Интернета шлюзом с NAT, а через NAT работа всех нужных для обращения от членов домена к КД протоколов не гарантируется.

    Как именно сделать VPN - зависит от вашего оборудования, квалификации, возможностей и благожелательности хостера. Есть, например, вариант, который не требует от хостера ничего - подключение по IPsec в тоннельном режиме, но для него требуется поддержка тоннельного режима IPsec со стороны шлюза: Windows это умеет, а вот за всякие дешевые маршрутизаторы сказать трудно. Ну, и надо знать, как это сделать: это не сложно, но всё же тут требуется понимание, что именно надо сделать и аккуратная ручная настройка. А сервер DHCP в таком случае лучше разместить локально, благо практически все маршрутизаторы име.т эту функцию.


    Слава России!


  • ПРОШУ НЕ ГОЛОСОВАТЬ ЗА ЭТОТ ОТВЕТ!

    блин, сделайте себе тестовый акк на ажурке и гляньте. 

    Выпускать, тем более контроллеры голой жопой в инет - глупость несусветная, но в принципе чо нет то? это возможно. Но вот например никто, включая совсем на голову безумных хостеров, без маршрутизатора вас во внешку не пустит это два(ну если вы их их потрохами не купите). да и смысл? один фиг на другом конце провода будет чужой маршутизатор, где тот же ваш дхцп бродкаст загнется(для этого придуман ДХЦП релей агент у мелкомягких, или ИП Хелпер у тех же сисек). Внешние днсы и даже притом не маленькие, на винде видел, и даже админил(так оно исторически сложилось и сервера были не совсем в нашей компетенции).

    вообще, смысл вопроса довольно дебилен(сорри) по своей сути. вы еще спросите почему небо голубое и что будет если на траву светить зеленым цветом. Просто понимание того, что это теоретически возможно, недостаточно для того, чтоб родить хотя бы минимально жизнеспособный вариант. Почитайте книжки, поучите что нить, может что нить безумное и при этом относительно жизнеспособное и придумаете.


    я согласен, что вопрос несколько не корректно поставлен. но суть вы поняли. но прояснить нужно было. ) изначально логика появления вопроса была такой - раз ad строится на dns, то логично, что в теории её возможно выпустить наружу и оно-таки будет работать со всеми известными недостатками такой схемы. )
  • Вектор, абанамат(по логам - ты)... специально для таких как ты написано! КРУПНЫМИ БУКВАМИ в самом начале...

    вопрос хреновый, формулировка более менее, уровень знаний тс - ниже плинтуса(по моим меркам, ТС не обижайся), формат вопроса охватывает сразу кучу областей.

    ну ёжкин кошкин, зла нехватает. я бы таких нахер на курсы чтоли слал или грызть учебники. от нашего ответа он, *****, ничему не научится! от вопроса и наших ответов толку ноль.

    З.Ы.

    ТС, формулируй вопросы проще и конкретно по области, чтоб тя можно было послать не нахер, а в статью или книжку

    Коллега, что же вы такой нервный. Валерианочки попейте для успокоения. )

    Да и откуда вам знать уровень моей компетенции исходя лишь из одного вопроса. )

  • Приветствую.

    Посмотрите в сторону AAD 

    По мне, выставлять dc и домен в интернет - бред сивой кобылы.

    Прошу прощения за оффтоп.


    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub, Facebook, TechNet Forum Team.

    Насколько я помню AAD совсем не AD, хотя и умеет некоторую синхронизацию с AD. )
    • Изменено smirko83 31 мая 2020 г. 14:47
  • я согласен, что вопрос несколько не корректно поставлен. но суть вы поняли. но прояснить нужно было. ) изначально логика появления вопроса была такой - раз ad строится на dns, то логично, что в теории её возможно выпустить наружу и оно-таки будет работать со всеми известными недостатками такой схемы. )

    так если внимательно почитать что написано коллегами выше то можно прийти к мнению что схема описанная в вопросе работать скорее не будет нежели наоборот так как ад это не надстройка над dns а нечто большее что в теории может работать и без днс в стандартном понимании этого слова. Коллега весьма эмоционально описал вам часть проблем с которыми вы столкнетесь, и стоит заметить весьма малую часть.

    AAD это не полная замена AD, но дает некоторый функционал для работы с внешним миром, и так как вы не написали сценарий при котором вам нужен доступ к ад извне, вам предложили вполне логичный и правильный вариант (вместе vpn и тому подобными решениями) для вполне абстрактного вопроса.


    The opinion expressed by me is not an official position of Microsoft

    Модератор