大規模な組織の AD の一部である DMZ 内で IIS Web サーバーを実行することを好みますか、それとも、管理の容易さと (おそらく認識されている) セキュリティに対するユーザー制御を犠牲にすることを好みますか?
現在、IIS ボックスをドメイン外で実行しているため、ファイアウォールで一方向ルールを維持できます (1 つの SQL ポートを除き、DMZ から LAN へのトラフィックはありません)。ただし、これは非 AD 認証を使用し、ボックス間でパスワードを手動で同期する必要があることを意味します。
どちらがより安全でしょうか?
ここで答えを見つけましたDMZ 内の Active Directory
答え1
両方の長所を活かすことができます。AD LDSを実装してドメインと連携させることができます。この記事概要
答え2
弊社には、ドメイン化された IIS サーバー上でソフトウェアを実行する必要がある既製の製品があります。さらに、弊社の OTS パッケージの少なくとも 1 つはインターネットに接続するように設計されており、ドメイン化する必要があります。これを設計の悪いアプリケーションと呼ぶ人もいるかもしれませんが、弊社はこれを使用する必要があるため、この質問は多少意味がありません。
答え3
私たちは IIS サーバーをドメイン (独自のドメイン) で実行しています。アプリケーション プール ID とサービスをドメイン アカウントで実行すると、さまざまなマシン上の共有ファイル、データ、およびその他のリソースへのアクセスを制御するのがはるかに簡単になります。このモデルには、セキュリティ、スケーラビリティ、使いやすさという利点があります。管理が難しいドメインに IIS サーバーを配置しても、リスクは考えられません。