您是否喜歡在作為更大組織的 AD 一部分的 DMZ 內運行他們的 IIS Web 伺服器,還是更喜歡犧牲管理的便利性和使用者對(可能感知到的)安全性的控制?
目前,我們在網域外運行 IIS 機器,這使我們能夠透過防火牆保持單向規則(除了 1 個 SQL 連接埠之外,沒有從 DMZ 到 LAN 的流量)。然而,這意味著我現在必須使用非 AD 身份驗證並手動跨盒子同步密碼。
哪個比較安全?
在這裡找到了答案DMZ 中的 Active Directory
答案1
您可以兩全其美。 AD LDS 可以實施並與您的網域聯合,請參閱本文概覽
答案2
我們有現成的產品,要求我們在網域 IIS 伺服器上執行該軟體。更重要的是,我們擁有的至少一個 OTS 軟體包被設計為面向互聯網並且需要進行域化。有些人可能會稱這是一個設計不佳的應用程序,但我們必須使用它,所以這個問題有點沒有實際意義。
答案3
我們在一個網域中運行 IIS 伺服器——它們自己的網域。當應用程式集區標識和服務在網域帳戶中執行時,控制對不同電腦上的共用檔案、資料和其他資源的存取要容易得多。該模型具有安全性、可擴展性和易用性優勢。我認為將 IIS 伺服器放在網域中不會有任何風險,因為網域很難管理。