Você prefere executar seus servidores IIS dentro de uma DMZ que faz parte do AD da organização ou prefere sacrificar a facilidade de gerenciamento e o controle do usuário em vez da segurança (possivelmente percebida)?
Atualmente executamos nossas caixas IIS fora do domínio e isso nos permite manter uma regra unidirecional com nosso firewall (nenhum tráfego de DMZ para LAN, exceto 1 porta SQL). No entanto, isso significa que agora preciso usar autenticação não AD e sincronizar manualmente as senhas entre as caixas.
Qual é mais seguro?
encontrei uma resposta aquiActive Directory em uma DMZ
Responder1
você pode obter o melhor dos dois mundos. AD LDS pode ser implementado e federado com seu domínio, consulteEste artigopara uma visão geral
Responder2
Temos produtos prontos para uso que exigem que executemos o software em um servidor IIS de domínio. Além do mais, pelo menos um dos pacotes OTS que temos foi projetado para ser voltado para a Internet e precisa ser controlado. Alguns podem chamar isso de aplicativo mal projetado, mas temos que usá-lo, então a questão é um pouco discutível.
Responder3
Executamos nossos servidores IIS em um domínio – seu próprio domínio. Quando a identidade e os serviços do pool de aplicativos são executados em uma conta de domínio, é muito mais fácil controlar o acesso a arquivos, dados e outros recursos compartilhados em máquinas diferentes. Seus benefícios são segurança, escalabilidade e facilidade de uso para este modelo. Não consigo pensar em nenhum risco em colocar o servidor IIS em um domínio que é difícil de gerenciar.