MSMQ：两台服务器是否需要位于同一域中才能访问专用队列？

Question

正如标题所说 - 我有 3 台服务器：

server-1 [wcf 服务] server-2 [wcf 服务] server-3 [esb 使用 rhino.esb]

所以 - 服务器 1 向服务器 3 esb 发布消息 服务器 2 通过 server-3 esb 订阅来自服务器 1 的消息，

它们都需要位于同一个域中还是其他什么？

Answer 1

为了安全起见，公共队列和专用队列之间没有区别 - “公共”仅意味着在 Active Directory 中发布。

此外，您需要区分“不同域”和“不同林”。我猜你指的是后者。同一林中的两个域共享相同的安全数据库，因此不会出现问题。

不要将队列上的访问控制列表视为一种强大的安全形式。可以使用任何帐户的 SID 发送消息来绕过队列权限。如果存在安全问题，则使用内部 (MSMQ) 或外部证书进行身份验证是更好的选择。

• 如何在不使用域帐户的情况下发送经过身份验证的 MSMQ 消息
• 对林之间的 MSMQ 消息进行身份验证
• 跨林 MSMQ？您需要信任
• "如何在域之间发送 MSMQ 消息？"
• 了解 MSMQ 安全性如何阻止 RPC 流量

干杯
约翰·布瑞克韦尔

Answer 2

不。但它不太安全或更复杂。取决于您是否使用安全性（每个人都可以访问）或证书。
请参阅使用传输安全保护邮件。

Answer 3

专用队列仅通过 TCP 端口访问，因此托管服务器甚至不需要位于域中即可访问 MSMQ 队列。但是，我建议您在网络层（即防火墙）应用传输级安全性，以防止任何未经授权的流量将消息放入队列或从队列中检索消息。