Лучший способ подключения веб-форм IIS 7.5 к SQL Server

Question

Я обновляю приложение ASP.NET 4.0 с:

Windows Server 2003 и IIS 6

до:

Windows Server 2008 и IIS 7.5

Это приложение основано на веб-формах ASP.NET , а не на MVC.В настоящее время я использую аутентификацию SQL, но я хотел бы следовать рекомендациям в новой среде.

И машина IIS 7.5, и машина SQL Server 2008 будут находиться в DMZ с собственным контроллером домена .Было бы хорошо, если бы мы могли использовать похожие строки подключения для сред Dev, Test и Prod.Какова лучшая практика для этой ситуации?Я прочитал о трех вариантах.

1. ApplicationPoolIdentity
2. Создайте собственную учетную запись службы в домене
3. Аутентификация SQL

Здесьявляются ссылками на вопросы, в которых обсуждались связанные проблемы, но, похоже, ничего не отвечало на мой конкретный вопрос.

Пользователь ASP.NET работает под

Назначение разрешений учетной записи ApplicationPoolIdentity

Answer 1

Я рекомендую учетную запись AD для запуска пула приложений. Затем разрешения могут быть созданы на сервере SQL для этой же учетной записи. Строка conn, используемая приложением, не должна будет содержать информацию об учетной записи (доверенное соединение), и у вас будет меньше проблем, связанных с безопасностью. В качестве дополнительной меры предосторожности удалите эту учетную запись AD из всех групп пользователей и не используйте ее ни для чего другого, кроме как для одной цели (пул приложений). Предоставьте этому пользователю доступ на чтение к файлам веб-сайта и доступ на запись только к тем папкам, в которые ему нужно записать (например, для выгрузки файлов журнала).

Answer 2

Что касается передового опыта, я не думаю, что какой-либо из 3-х перечисленных вами вариантов лучше другого; все они могут выполнять работу безопасно и эффективно при правильном использовании. Ваше решение должно основываться на том, какое из этих преимуществ дает вам преимущество, учитывая вашу конкретную среду, политику компании и т. Д., Но опять же, ни одно из них не является плохой практикой.