Ral*_*ton 2 windows-server-2008 active-directory team-foundation-server
我面临的情况是:我们计划使用托管在 Amazon EC2 机器上的许多服务器应用程序,主要是 Microsoft Team Foundation Server。这些服务严重依赖 Active Directory。由于我们的服务器位于亚马逊云中,因此不用说(但我会)我们所有的用户都是远程的。
似乎我们无法在我们的 EC2 实例上设置 VPN——因此用户必须直接通过 Internet 加入域,然后他们将能够进行身份验证,并且一旦通过身份验证,就可以使用该令牌访问 TFS 等资源.
在 DC 实例上,我可以关闭所有端口,除了加入/验证域所需的端口。我还可以将那台机器上的 IP 过滤到我们期望用户所在的那些地址(这是一个小组)
在基于 Web 的应用程序服务器上,我想我们只需要打开端口 80(或者在 TFS 的情况下是 8080)
我面临的问题之一是该 Active Directory 使用什么域名。我应该选择“ourDomainName.com”还是“OurDomainName.local” 如果我选择后者,这是否意味着我必须让所有用户更改他们的 DNS 地址以指向我们的服务器,以便它可以解析域名(我想我也可以分发一个主机文件)
也许还有另一种选择,我完全错过了。
你有两个正交问题。
回复:命名 - 我绝不会以您的二级域(即“OurDomainName.com”)命名 Active Directory 域名。这是这里宗教争论的主题,您可以在以下位置准备好:
我不会使用“.local”(尽管 Microsoft 确实这样做了 - 由于 ZeroConf 协议,“.local”有与之关联的“行李”)。
就个人而言,我使用约定“ad.domain.com”。假设您将“ad”子域的 DNS 委托给在您的 DC 上运行的 DNS 服务器,您可以毫无问题地将 AD 命名空间与面向公众的 DNS 命名空间共存。
回复:安全性 - 如果不是所有域成员计算机,您可能需要考虑在 DC 上使用 IPSEC 策略来验证和加密客户端计算机和 DC 之间的通信。最初加入域会有些困难,但肯定不是不可能。如果您的客户端是基于 Windows 7 的,您可能可以利用新的离线域加入功能来简化此操作。
| 归档时间: |
|
| 查看次数: |
892 次 |
| 最近记录: |