Möchten Sie die IIS-Webserver lieber in einer DMZ ausführen, die Teil des AD der größeren Organisation ist, oder möchten Sie die einfache Verwaltung und Benutzerkontrolle lieber der (möglicherweise wahrgenommenen) Sicherheit opfern?
Wir betreiben unsere IIS-Boxen derzeit außerhalb der Domäne und können so mit unserer Firewall eine Einwegregel einhalten (kein Datenverkehr von DMZ zum LAN außer 1 SQL-Port). Das bedeutet jedoch, dass ich jetzt eine Nicht-AD-Authentifizierung verwenden und Passwörter manuell zwischen den Boxen synchronisieren muss.
Was ist sicherer?
habe hier eine Antwort gefundenActive Directory in einer DMZ
Antwort1
Sie können das Beste aus beiden Welten erhalten. AD LDS kann implementiert und mit Ihrer Domäne verbunden werden. SieheDieser Artikelfür einen Überblick
Antwort2
Wir haben ein Standardprodukt, das erfordert, dass wir die Software auf einem domänengebundenen IIS-Server ausführen. Darüber hinaus ist mindestens eines unserer OTS-Pakete für den Internetzugriff konzipiert und muss domänengebunden sein. Manche würden dies als schlecht konzipierte Anwendung bezeichnen, aber wir müssen sie verwenden, daher ist die Frage ein wenig hinfällig.
Antwort3
Wir betreiben unsere IIS-Server in einer Domäne – ihrer eigenen Domäne. Wenn App-Pool-Identität und -Dienste in einem Domänenkonto ausgeführt werden, ist es viel einfacher, den Zugriff auf freigegebene Dateien, Daten und andere Ressourcen auf verschiedenen Computern zu kontrollieren. Dieses Modell bietet Vorteile in puncto Sicherheit, Skalierbarkeit und Benutzerfreundlichkeit. Ich kann mir kein Risiko vorstellen, den IIS-Server in einer Domäne zu platzieren, die schwer zu verwalten ist.