MSMQ: два сервера должны находиться в одном домене, чтобы иметь доступ к частным очередям?

Question

Как видно из названия - у меня есть 3 сервера:

сервер-1 [службы wcf] сервер-2 [службы wcf] сервер-3 [esb using rhino.esb]

Итак- сервер 1 публикует сообщение на сервер-3. esb-сервер 2 подписывается на сообщения с сервера 1 через сервер-3. esb

все ли они должны находиться в одном домене или еще где-нибудь?

Answer 1

В целях безопасности нет разницы между общими и частными очередями - «публичные» просто означают опубликованные в Active Directory.

Также необходимо различать «другой домен» и «другой лес».Я полагаю, вы имеете в виду последнее.Два домена в одном лесу совместно используют одну и ту же базу данных безопасности, поэтому проблем не будет.

Не рассматривайте списки контроля доступа в очередях как надежную форму безопасности.Сообщение может быть отправлено с SID любой учетной записи, чтобы обойти разрешения очереди.Аутентификация с помощью internel (MSMQ) или внешних сертификатов - гораздо лучшая альтернатива, если проблема в безопасности.

• Как отправлять аутентифицированные сообщения MSMQ без использования учетной записи домена
• Аутентификация сообщений MSMQ между лесами
• MSMQ между лесами?Вы должны доверять
• "Как отправлять сообщения MSMQ между доменами?"
• Понимание того, как система безопасности MSMQ блокирует RPC-трафик

Приветствия
John Breakwell

Answer 2

Доступ к частным очередям осуществляется только через порт TCP, поэтому хост-сервер не должен даже находиться в домене, чтобы очередь MSMQ была доступна. Однако я бы порекомендовал применить защиту транспортного уровня на сетевом уровне (например, брандмауэры), чтобы предотвратить отправку / получение сообщений из очередей неавторизованным трафиком.

Answer 3

Нет.Но это менее безопасно или более сложно.В зависимости от того, используете ли вы безопасность (у всех есть доступ) или сертификаты.Посмотрите на Защита сообщений с помощью Transport Security .