MSMQ: 2 сервера должны находиться в одном домене, чтобы иметь доступ к частным очередям?
Как видно из названия - у меня есть 3 сервера:
сервер-1 [службы wcf] сервер-2 [службы wcf] сервер-3 [esb using rhino.esb]
Итак - сервер 1 публикует сообщение для сервера-3 esb сервер 2 подписывается на сообщения от сервера 1 через сервер-3 esb
они все должны быть в одном домене или что-то еще?
3 ответа
В целях безопасности нет разницы между публичными и частными очередями - "публичные" просто означают опубликованные в Active Directory.
Кроме того, вы должны различать "другой домен" и "другой лес". Я полагаю, вы имеете в виду последнее. Два домена в одном лесу совместно используют одну и ту же базу данных безопасности, поэтому проблем не будет.
Не рассматривайте списки контроля доступа в очередях как надежную форму безопасности. Сообщение может быть отправлено с SID любой учетной записи, чтобы обойти разрешения очереди. Аутентификация с помощью internel (MSMQ) или внешних сертификатов - намного лучшая альтернатива, если проблема безопасности.
- Как отправлять аутентифицированные сообщения MSMQ без использования учетной записи домена
- Аутентификация сообщений MSMQ между лесами
- Кросс-форест MSMQ? Вы должны доверять
- "Как я могу отправлять сообщения MSMQ между доменами?"
- Понимание того, как безопасность MSMQ блокирует трафик RPC
ура
Джон Брейквелл
Доступ к закрытым очередям осуществляется только через порт TCP, поэтому хост-сервер не должен даже находиться в домене, чтобы очередь MSMQ была доступна. Тем не менее, я бы порекомендовал вам применять защиту на транспортном уровне на сетевом уровне (т.е. брандмауэры), чтобы предотвратить отправку / получение сообщений из очередей неавторизованным трафиком.
Нет. Но это менее безопасно или более сложно. В зависимости от того, используете ли вы безопасность (у всех есть доступ) или сертификаты. Посмотрите на безопасность сообщений с помощью безопасности транспорта.