DMZ和ActiveDirectory用户

Question

首先，我说我不太熟悉AD和DMZ。

在我的公司里，我们有一个DMZ，只有一台服务器，与内部网络隔离(只有几个开放的端口)，并且暴露在网络上。有一些正在运行的IIS应用程序可以访问Server。

我想更新connectionstrings，删除userId和password，使用Integrated Security = true并为应用程序池设置适当的用户，以便从web.configs中删除明文/硬编码密码。

问题是服务器不识别用户，因为服务器不是AD域的一部分。

我确信，对于这种情况，有一个清晰的解决方案，但没有任何线索。我该怎么办？

Answer 1

我想更新连接字符串，删除userId和密码，使用Integrated = true，并为应用程序池设置适当的用户，以便从web.configs中删除明文/硬编码密码。

正如其他人所述，如果系统未连接到Active Directory，则不能使用集成安全性。

您也不需要这样做，因为连接字符串可以加密。

从web.config所在的命令提示符中使用以下命令：

%SYSTEMROOT%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -pef connectionStrings "."

如果应用程序池在帐户下运行，而不是在本地系统下运行：

%SYSTEMROOT%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis -pa "NetFrameworkConfigurationKey" "accountusername"

如果一个场中有多个IIS服务器，那么它们都需要有相同的计算机密钥，这可能已经做到了。

更多信息：

https://docs.microsoft.com/en-us/aspnet/web-forms/overview/data-access/advanced-data-access-scenarios/protecting-connection-strings-and-other-configuration-information-cs

Answer 2

在DMZ服务器上创建一个用户，并将其分配给应用程序池。在SQL server上创建本地用户，并在SQL management studio中授予其权限。