더 큰 조직의 AD의 일부인 DMZ 내에서 IIS 웹 서버를 실행하는 것을 선호합니까, 아니면 관리 용이성과 보안에 대한 사용자 제어(아마 인식될 수 있음)를 희생하는 것을 선호합니까?
우리는 현재 도메인 외부에서 IIS 상자를 실행하고 있으며 이를 통해 방화벽으로 단방향 규칙을 유지할 수 있습니다(SQL 포트 1개를 제외하고 DMZ에서 LAN으로의 트래픽 없음). 그러나 이는 이제 비 AD 인증을 사용하고 여러 상자에서 비밀번호를 수동으로 동기화해야 함을 의미합니다.
어느 것이 더 안전합니까?
여기서 답을 찾았습니다DMZ의 Active Directory
답변1
당신은 두 세계의 장점을 모두 얻을 수 있습니다. AD LDS를 구현하고 도메인과 페더레이션할 수 있습니다.이 기사개요를 보려면
답변2
우리는 도메인 IIS 서버에서 소프트웨어를 실행해야 하는 기성 제품을 보유하고 있습니다. 게다가 우리가 보유한 OTS 패키지 중 적어도 하나는 인터넷에 연결되도록 설계되었으며 도메인이 필요합니다. 어떤 사람들은 이것을 형편없는 디자인의 애플리케이션이라고 부를 수도 있지만, 우리는 그것을 사용해야 하므로 질문은 다소 논쟁의 여지가 있습니다.
답변3
우리는 도메인, 즉 자체 도메인에서 IIS 서버를 실행합니다. 앱 풀 ID 및 서비스가 도메인 계정에서 실행되면 다른 컴퓨터의 공유 파일, 데이터 및 기타 리소스에 대한 액세스를 훨씬 쉽게 제어할 수 있습니다. 이 모델의 장점은 보안, 확장성 및 사용 편의성입니다. 관리하기 어려운 도메인에 IIS 서버를 배치하는 데 따른 위험은 전혀 없습니다.