三、 空根域模型的缺陷。
虽然空根域模型可以提高域环境的安全,也便于管理员更改域名。但是这个模型仍然有一定的缺陷。这个缺陷主要体现在硬件成本的增加与网络复杂性的增加上。
在使用空根域模型中,企业不得不额外的投资一台服务器,用来做主控域控制器。同时为了提高其安全,往往还需要设计冗余。这么一来,企业就需要额外的多增加2到3台的服务器。空根域模型的核心就是要有一个独立的、分离的域。为此在域设计中必须要包含一个额外的域控制器,而且还要提供一个域控制器作为冗余控制器。为此企业如果需要采用空根域模型的话,就需要承担这一笔额外的开销。不过在现实工作中,由于这个主控域控制器往往不负责具体的工作,不会执行过多的任务,而更像是一种“备用域控制器”,所以其配置并不要很高。不过一般来说,冗余配置还是必须的。在实际工作中,为了降低成本,有些网络管理员甚至布使用物理硬件来充当主域控制器。而使用虚拟机等技术来创建一个虚拟的模式主控。这虽然是可行的,但是其安全性方面会打折扣。随着现在硬件成本越来越低,笔者还是建议采用独立的硬件设备用作主控域控制器。只是那个配置上,不用很高。企业甚至可以使用一些即将淘汰的电脑,稍微升一点级,来作为空根域的控制器,以降低空根域模型的部署成本。
另外需要注意的是,采用空根域模型会增加域环境的复杂程度。如某些企业可能只需要使用单域模型就可以满足需求。但是为了提高安全采用空根域模型的话,还必须额外的采用一个根域。从字面上理解只是增加了一个根域,但是在管理上,会成倍的增加工作量。
总之天下没有白吃的午餐。企业在域模型设计的时候,需要在安全性与部署成本上进行均衡。对于一些安全至上的企业来说,这点投资还是值得的。
四、 空根域模型部署的最佳建议。
在部署空根域模型的时候,笔者提供如下几个最佳的建议。
一是空根域与其它域之间的命名。在传统的域环境中,根域与下面的域采用的是DNS的命名结构。如根域命名为,则下面的域就命名为。这样的命名能够让域的拓扑结构更加的清晰。但是这也有不利的地方,如方便攻击者了解企业的域拓扑结构。在使用空根域模型中,对于根域与其它域的命名笔者不建议采用这个结构。即对空根域进行命名的时候,可以随意命名,如等等。
二是最大程度的限制空根域的用户帐户。一般情况下,最好是在空根域中只有一个帐户,既只有网络管理员帐户。为企业每个部门创建的组织单元、帐户等等都要放置在其他的域中。由于只有管理员有权访问根域,有权访问主控域控制器,就能够创建一个简单的域环境。正由于其简单,为此针对其设置安全策略等等也会方便许多。
三是虽然通过虚拟服务器技术来创建虚拟的主控域控制器是可行的,但是笔者不建议这么做。特别是现在硬件成本越来越低,企业还采用虚拟的主控域控制器,有点得不偿失。另外就是为主控域控制器甚至冗余的控制器也是必须的。如果出于成本的考虑,空根域中的控制器配置可以不用很高,只要满足2008操作系统安装要求即可。
(转载)
