ASP.NET4.0アプリを次の場所からアップグレードしています。
WindowsServer2003およびIIS6
に:
WindowsServer2008およびIIS7.5
このアプリは、MVCではなくASP.NETWebフォームに基づいています。現在SQL認証を使用していますが、新しい環境でのベストプラクティスに従いたいと思います。
IIS7.5マシンとSQLServer2008マシンはどちらも、独自のドメインコントローラーを備えたDMZに常駐します。Dev、Test、Prod環境で同様の接続文字列を使用できれば便利です。この状況のベストプラクティスは何ですか?私は3つのオプションについて読みました。
ここに関連する問題を議論した質問へのリンクがありますが、私の特定の質問に答えるものは何もないようです。
アプリプールの実行にはADアカウントをお勧めします。次に、同じアカウントのSQLサーバーでアクセス許可を作成できます。アプリが使用するconn文字列には、アカウント情報(信頼できる接続)がまったく含まれている必要がなくなり、セキュリティに関連して心配することが1つ少なくなります。追加の予防策として、そのADアカウントをすべてのユーザーグループから削除し、この1つの目的(アプリプール)以外には使用しないでください。そのユーザーにWebサイトファイルへの読み取りアクセス権と、書き込みが必要なフォルダーへの書き込みアクセス権のみを付与します(ログファイルのダンプなど)。
ベストプラクティスに関する限り、リストした3つのオプションのいずれも他のオプションより優れているとは思いません。正しく使用すれば、それらすべてが安全かつ効率的に仕事をすることができます。あなたの決定は、あなたの特定の環境、会社の方針などを考慮して、それらのどれがあなたに利点を提供するかに基づいているべきですが、繰り返しますが、それらのどれも悪い習慣ではありません。