Интранет против интернета
По иронии судьбы некоторые правила безопасности веб-сервера нередко конфликтуют с преимуществами, обеспечиваемыми доменами Windows и технологией Active Directory. Например, если веб-сервер расположен в интернете, он не должен иметь доверительных отношений с другими системами. В таком случае, стоит ли делать веб-сервер частью домена Windows? Да, при наличии соответствующих мер защиты. По другую сторону от брандмауэра, т.е. в сети интранет, организация может расположить веб-сервер в домене, если при входе на веб-сервер будет затребована аутентификация. Домен исключает повторный ввод на сервере идентификационных данных пользователей, паролей и т.д. (это очень существенно для крупных сетей), уже имеющихся в базе данных контроллера домена.
Каждый раз при создании доверительных отношений между системами повышается степень их уязвимости до уровня ошибки системы безопасности лишь в одном из компьютеров, поэтому управление веб-сервером интернета безопаснее всего осуществлять в отдельных системах. Веб-серверы настраиваются на специальный тип аутентификации, называемый анонимным входом, при котором не указывается уникальный идентификатор учетной записи. Использование анонимного входа в систему является различием в конфигурациях веб-серверов интернета и интранета. В остальном параметры безопасности довольно похожи.
Совет. Для любого правила можно найти исключения. На некоторых веб-серверах интранет используется анонимный вход без указания идентификатора и пароля. С другой стороны, некоторые веб-серверы интернета требуют аутентификацию. В этом случае, если управляющая сервером организация использует серверы FTP, серверы новостей и другие, она может объединить их в изолированный домен управления. Сейчас мы не будем рассматривать эти исключения.
