Предпочитаете ли вы запускать веб-серверы IIS внутри DMZ, которая является частью AD более крупной организации, или вы предпочитаете пожертвовать простотой управления и контролем со стороны пользователей ради (возможно, кажущейся) безопасности?
В настоящее время мы запускаем наши ящики IIS вне домена, и это позволяет нам поддерживать одностороннее правило с нашим брандмауэром (никакого трафика из DMZ в LAN, кроме 1 порта SQL). Однако это означает, что теперь мне придется использовать аутентификацию не-AD и вручную синхронизировать пароли между ящиками.
Что безопаснее?
нашел ответ здесьActive Directory в DMZ
решение1
вы можете получить лучшее из обоих миров. AD LDS может быть реализован и объединен с вашим доменом, см.Эта статьядля обзора
решение2
У нас есть готовый продукт, который требует от нас запуска программного обеспечения на доменном сервере IIS. Более того, по крайней мере один из пакетов OTS, которые у нас есть, разработан для выхода в Интернет и требует доменирования. Некоторые могут назвать это плохо спроектированным приложением, но нам приходится его использовать, так что вопрос немного спорный.
решение3
Мы запускаем наши серверы IIS в домене — их собственном домене. Когда удостоверение пула приложений и службы работают в учетной записи домена, гораздо проще контролировать доступ к общим файлам, данным и другим ресурсам на разных машинах. Преимущества этой модели — безопасность, масштабируемость и простота использования. Я не могу вспомнить ни одного риска, связанного с размещением сервера IIS в домене, которым трудно управлять.