利用Server2008空根域來提高安全性

三、 空根域模型的缺陷。

        雖然空根域模型可以提高域環(huán)境的安全，也便于管理員更改域名。但是這個模型仍然有一定的缺陷。這個缺陷主要體現(xiàn)在硬件成本的增加與網(wǎng)絡(luò)復(fù)雜性的增加上。

        在使用空根域模型中，企業(yè)不得不額外的投資一臺服務(wù)器，用來做主控域控制器。同時為了提高其安全，往往還需要設(shè)計冗余。這么一來，企業(yè)就需要額外的多增加2到3臺的服務(wù)器?？崭蚰Ｐ偷暮诵木褪且幸粋€獨立的、分離的域。為此在域設(shè)計中必須要包含一個額外的域控制器，而且還要提供一個域控制器作為冗余控制器。為此企業(yè)如果需要采用空根域模型的話，就需要承擔這一筆額外的開銷。不過在現(xiàn)實工作中，由于這個主控域控制器往往不負責具體的工作，不會執(zhí)行過多的任務(wù)，而更像是一種“備用域控制器”，所以其配置并不要很高。不過一般來說，冗余配置還是必須的。在實際工作中，為了降低成本，有些網(wǎng)絡(luò)管理員甚至布使用物理硬件來充當主域控制器。而使用虛擬機等技術(shù)來創(chuàng)建一個虛擬的模式主控。這雖然是可行的，但是其安全性方面會打折扣。隨著現(xiàn)在硬件成本越來越低，筆者還是建議采用獨立的硬件設(shè)備用作主控域控制器。只是那個配置上，不用很高。企業(yè)甚至可以使用一些即將淘汰的電腦，稍微升一點級，來作為空根域的控制器，以降低空根域模型的部署成本。

        另外需要注意的是，采用空根域模型會增加域環(huán)境的復(fù)雜程度。如某些企業(yè)可能只需要使用單域模型就可以滿足需求。但是為了提高安全采用空根域模型的話，還必須額外的采用一個根域。從字面上理解只是增加了一個根域，但是在管理上，會成倍的增加工作量。

        總之天下沒有白吃的午餐。企業(yè)在域模型設(shè)計的時候，需要在安全性與部署成本上進行均衡。對于一些安全至上的企業(yè)來說，這點投資還是值得的。

四、 空根域模型部署的最佳建議。

       在部署空根域模型的時候，筆者提供如下幾個最佳的建議。

       一是空根域與其它域之間的命名。在傳統(tǒng)的域環(huán)境中，根域與下面的域采用的是DNS的命名結(jié)構(gòu)。如根域命名為，則下面的域就命名為。這樣的命名能夠讓域的拓撲結(jié)構(gòu)更加的清晰。但是這也有不利的地方，如方便攻擊者了解企業(yè)的域拓撲結(jié)構(gòu)。在使用空根域模型中，對于根域與其它域的命名筆者不建議采用這個結(jié)構(gòu)。即對空根域進行命名的時候，可以隨意命名，如等等。

       二是最大程度的限制空根域的用戶帳戶。一般情況下，最好是在空根域中只有一個帳戶，既只有網(wǎng)絡(luò)管理員帳戶。為企業(yè)每個部門創(chuàng)建的組織單元、帳戶等等都要放置在其他的域中。由于只有管理員有權(quán)訪問根域，有權(quán)訪問主控域控制器，就能夠創(chuàng)建一個簡單的域環(huán)境。正由于其簡單，為此針對其設(shè)置安全策略等等也會方便許多。

       三是雖然通過虛擬服務(wù)器技術(shù)來創(chuàng)建虛擬的主控域控制器是可行的，但是筆者不建議這么做。特別是現(xiàn)在硬件成本越來越低，企業(yè)還采用虛擬的主控域控制器，有點得不償失。另外就是為主控域控制器甚至冗余的控制器也是必須的。如果出于成本的考慮，空根域中的控制器配置可以不用很高，只要滿足2008操作系統(tǒng)安裝要求即可。

（轉(zhuǎn)載）