Voici mon scenario, j'ai trois servers IIS avec LB hardware et une
application WEB qui tourne dessus. Pour l'Authentication, avant la solution
LB, j'avais un seul serveur IIS avec tous mes users créés en local.
Maintenant, avec la nouvelle architecture, nous avons installé un DC (avec
AD) sur le même segment mais les serveurs IIS ne sont pas dans le domaine.
Je ne sais pas si, en terme de sécurité, c'est une bonne pratique de mettre
son DC sur le même segment que les IIS serveurs...
Et les dangers de mettre les serveurs IIS dans le domaine ?
Pour l'authentication, je ne sais pas comment faire car mes serveurs IIS,
quand je mets Windows Authentication, n'acceptent pas mes credentials du
domaine (c'est normal car je ne suis pas dans le domaine).
Comment puis-je faire, je suis complètement perdu et j'ai du mal à trouver
une documentation qui expliquerait l'architecture et le setup à mettre en
place.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Marc Lognoul [MVP]
Bonjour,
Voici mon scenario, j'ai trois servers IIS avec LB hardware et une application WEB qui tourne dessus. Pour l'Authentication, avant la solution LB, j'avais un seul serveur IIS avec tous mes users créés en local.
Cela reste possible avec plusieurs serveurs IIS hors domaine mais il faut impérativement les même comptes, mot de passe identiques y compris. Si vous maitrisez cela, pas de problème pour laisser les IIS dans un workgroup
Maintenant, avec la nouvelle architecture, nous avons installé un DC (avec AD) sur le même segment mais les serveurs IIS ne sont pas dans le domaine. Je ne sais pas si, en terme de sécurité, c'est une bonne pratique de mettre son DC sur le même segment que les IIS serveurs...
Et les dangers de mettre les serveurs IIS dans le domaine ?
Aucun danger pour les IIS eux-même évidemment. En ce qui concerne les "dangers" pour le domain et les ordinateurs membres, c'est un sujet sur lequel on peut disserter avec tous les geeks de la planète et n'arriver à aucune conclusion pratique ;) Un domaine, c'est avant tout un moyen pour sécurisé une infrastrcture, donc de ce point de vue là, il est préférable que les IIS en soient membres. Cela vous permettra de gérer toute une série d'aspects de la sécurité de manière centralisée et avec un niveau de sécurité globalement plus élevé qu'en workgroup. MAIS une fois un DC compromis, c'est tout le reste qui l'est potentiellement! Deplus, tout dépend également de ce que vous mettez dans ce domaine: messagerie, infos financière ou autres... Si vous y placeez des information sensibles et ensuite que vous utilisez ce même domaine pour héberger des applications Internet... c'est une porte grande ouverte sur votre infra et vos données.
Que se passera-t-il si un IIS membre d'un domain est compromis: cela dépend. Si celui ci est suffisament sécurisé, l'impact sera réel mais réduit: en gros, l'attacker recevra au moins une vue en lecture seul sur votre domaine et sur certaines ressources. Si le serveur IIS tourne un service avec un compte membre du groupe "domain admin", ce sera évidemment potientiellement plus grave...
En conclusion, personnellement, je dédierais cet AD à votre application et j'éviterais donc d'ouvrir la porte vers d'autres applications qui n'ont rien à faire sur Internet.
Concernant la question du même segment ou pas, là aussi, toutes les interprétations sont possibles.. Si vous devez ouvrir un firewall pour laisser un serveur membre parler avec son domaine, ce sera vite du gruyère... MAIS c'est toujours mieux que rien évidemment.
A vous de faire le calcul risk, complexité, cout... bénéfices...
Pour aller plus en détails sur les risques et le contre-mesures, ce livre (en anglais!) constitute une approche simple et pratique, même s'il commence à dater un peu: http://books.google.be/books?id=yZX2uAoAagwC
Pour l'authentication, je ne sais pas comment faire car mes serveurs IIS, quand je mets Windows Authentication, n'acceptent pas mes credentials du domaine (c'est normal car je ne suis pas dans le domaine).
C'est exact. Il faut qu'il soient membres du domaine pour pouvoire en exploiter les crédentials
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
Bonjour,
Voici mon scenario, j'ai trois servers IIS avec LB hardware et une
application WEB qui tourne dessus. Pour l'Authentication, avant la
solution LB, j'avais un seul serveur IIS avec tous mes users créés en
local.
Cela reste possible avec plusieurs serveurs IIS hors domaine mais il faut
impérativement les même comptes, mot de passe identiques y compris. Si vous
maitrisez cela, pas de problème pour laisser les IIS dans un workgroup
Maintenant, avec la nouvelle architecture, nous avons installé un DC (avec
AD) sur le même segment mais les serveurs IIS ne sont pas dans le domaine.
Je ne sais pas si, en terme de sécurité, c'est une bonne pratique de
mettre son DC sur le même segment que les IIS serveurs...
Et les dangers de mettre les serveurs IIS dans le domaine ?
Aucun danger pour les IIS eux-même évidemment.
En ce qui concerne les "dangers" pour le domain et les ordinateurs membres,
c'est un sujet sur lequel on peut disserter avec tous les geeks de la
planète et n'arriver à aucune conclusion pratique ;)
Un domaine, c'est avant tout un moyen pour sécurisé une infrastrcture, donc
de ce point de vue là, il est préférable que les IIS en soient membres. Cela
vous permettra de gérer toute une série d'aspects de la sécurité de manière
centralisée et avec un niveau de sécurité globalement plus élevé qu'en
workgroup.
MAIS une fois un DC compromis, c'est tout le reste qui l'est
potentiellement!
Deplus, tout dépend également de ce que vous mettez dans ce domaine:
messagerie, infos financière ou autres... Si vous y placeez des information
sensibles et ensuite que vous utilisez ce même domaine pour héberger des
applications Internet... c'est une porte grande ouverte sur votre infra et
vos données.
Que se passera-t-il si un IIS membre d'un domain est compromis: cela dépend.
Si celui ci est suffisament sécurisé, l'impact sera réel mais réduit: en
gros, l'attacker recevra au moins une vue en lecture seul sur votre domaine
et sur certaines ressources.
Si le serveur IIS tourne un service avec un compte membre du groupe "domain
admin", ce sera évidemment potientiellement plus grave...
En conclusion, personnellement, je dédierais cet AD à votre application et
j'éviterais donc d'ouvrir la porte vers d'autres applications qui n'ont rien
à faire sur Internet.
Concernant la question du même segment ou pas, là aussi, toutes les
interprétations sont possibles.. Si vous devez ouvrir un firewall pour
laisser un serveur membre parler avec son domaine, ce sera vite du
gruyère... MAIS c'est toujours mieux que rien évidemment.
A vous de faire le calcul risk, complexité, cout... bénéfices...
Pour aller plus en détails sur les risques et le contre-mesures, ce livre
(en anglais!) constitute une approche simple et pratique, même s'il commence
à dater un peu: http://books.google.be/books?id=yZX2uAoAagwC
Pour l'authentication, je ne sais pas comment faire car mes serveurs IIS,
quand je mets Windows Authentication, n'acceptent pas mes credentials du
domaine (c'est normal car je ne suis pas dans le domaine).
C'est exact. Il faut qu'il soient membres du domaine pour pouvoire en
exploiter les crédentials
--
Marc Lognoul [MCSE, MCTS, MVP]
Heureux celui qui a pu pénétrer les causes secrètes des choses
Happy is the one who could enter the secret causes of things
Blog EN: http://www.marc-antho-etc.net/blog/
Blog FR: http://www.marc-antho-etc.net/blogfr/
Voici mon scenario, j'ai trois servers IIS avec LB hardware et une application WEB qui tourne dessus. Pour l'Authentication, avant la solution LB, j'avais un seul serveur IIS avec tous mes users créés en local.
Cela reste possible avec plusieurs serveurs IIS hors domaine mais il faut impérativement les même comptes, mot de passe identiques y compris. Si vous maitrisez cela, pas de problème pour laisser les IIS dans un workgroup
Maintenant, avec la nouvelle architecture, nous avons installé un DC (avec AD) sur le même segment mais les serveurs IIS ne sont pas dans le domaine. Je ne sais pas si, en terme de sécurité, c'est une bonne pratique de mettre son DC sur le même segment que les IIS serveurs...
Et les dangers de mettre les serveurs IIS dans le domaine ?
Aucun danger pour les IIS eux-même évidemment. En ce qui concerne les "dangers" pour le domain et les ordinateurs membres, c'est un sujet sur lequel on peut disserter avec tous les geeks de la planète et n'arriver à aucune conclusion pratique ;) Un domaine, c'est avant tout un moyen pour sécurisé une infrastrcture, donc de ce point de vue là, il est préférable que les IIS en soient membres. Cela vous permettra de gérer toute une série d'aspects de la sécurité de manière centralisée et avec un niveau de sécurité globalement plus élevé qu'en workgroup. MAIS une fois un DC compromis, c'est tout le reste qui l'est potentiellement! Deplus, tout dépend également de ce que vous mettez dans ce domaine: messagerie, infos financière ou autres... Si vous y placeez des information sensibles et ensuite que vous utilisez ce même domaine pour héberger des applications Internet... c'est une porte grande ouverte sur votre infra et vos données.
Que se passera-t-il si un IIS membre d'un domain est compromis: cela dépend. Si celui ci est suffisament sécurisé, l'impact sera réel mais réduit: en gros, l'attacker recevra au moins une vue en lecture seul sur votre domaine et sur certaines ressources. Si le serveur IIS tourne un service avec un compte membre du groupe "domain admin", ce sera évidemment potientiellement plus grave...
En conclusion, personnellement, je dédierais cet AD à votre application et j'éviterais donc d'ouvrir la porte vers d'autres applications qui n'ont rien à faire sur Internet.
Concernant la question du même segment ou pas, là aussi, toutes les interprétations sont possibles.. Si vous devez ouvrir un firewall pour laisser un serveur membre parler avec son domaine, ce sera vite du gruyère... MAIS c'est toujours mieux que rien évidemment.
A vous de faire le calcul risk, complexité, cout... bénéfices...
Pour aller plus en détails sur les risques et le contre-mesures, ce livre (en anglais!) constitute une approche simple et pratique, même s'il commence à dater un peu: http://books.google.be/books?id=yZX2uAoAagwC
Pour l'authentication, je ne sais pas comment faire car mes serveurs IIS, quand je mets Windows Authentication, n'acceptent pas mes credentials du domaine (c'est normal car je ne suis pas dans le domaine).
C'est exact. Il faut qu'il soient membres du domaine pour pouvoire en exploiter les crédentials
-- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
