¿Prefiere ejecutar sus servidores web IIS dentro de una DMZ que es parte del AD de la organización mayor o prefiere sacrificar la facilidad de administración y el control del usuario por la seguridad (posiblemente percibida)?
Actualmente ejecutamos nuestras cajas IIS fuera del dominio y esto nos permite mantener una regla unidireccional con nuestro firewall (sin tráfico desde DMZ a LAN excepto 1 puerto SQL). Sin embargo, esto significa que ahora tengo que usar autenticación sin AD y sincronizar manualmente las contraseñas entre casillas.
¿Cuál es más seguro?
encontré una respuesta aquíDirectorio Activo en una DMZ
Respuesta1
puedes obtener lo mejor de ambos mundos. AD LDS se puede implementar y federar con su dominio verEste artículopara una visión general
Respuesta2
Tenemos un producto disponible en el mercado que requiere que ejecutemos el software en un servidor IIS con dominio. Es más, al menos uno de los paquetes OTS que tenemos está diseñado para conectarse a Internet y debe tener un dominio. Algunos podrían decir que esto es una aplicación mal diseñada, pero tenemos que usarla, por lo que la pregunta es un poco discutible.
Respuesta3
Ejecutamos nuestros servidores IIS en un dominio: su propio dominio. Cuando la identidad y los servicios del grupo de aplicaciones se ejecutan en una cuenta de dominio, es mucho más fácil controlar el acceso a archivos, datos y otros recursos compartidos en diferentes máquinas. Este modelo tiene ventajas de seguridad, escalabilidad y facilidad de uso. No se me ocurre ningún riesgo al colocar el servidor IIS en un dominio que sea difícil de administrar.