Active-Directory

DMZ 中的活動目錄

  • March 9, 2017

在 DMZ 中管理 Windows 伺服器的使用者帳戶的最佳方法是什麼?我們正在擴展我們的網路存在,並在我們的 DMZ 中添加多個 IIS 伺服器。我不希望管理一堆本地帳戶,或者另一方面,將我們的內部 Active Directory 伺服器直接暴露給 DMZ。有沒有解決這個問題的標準方法?

Microsoft 的 Active Directory 團隊發布了一份指南,其中包含在 DMZ 中執行 AD 的最佳實踐。

外圍網路中的 Active Directory 域服務 (Windows Server 2008)

該指南涵蓋了外圍網路的以下 AD 模型:

  • 沒有 Active Directory(本地帳戶)
  • 孤立森林模型
  • 擴展的企業森林模型
  • 森林信任模型

本指南包含確定 Active Directory 域服務 (AD DS) 是否適合您的外圍網路(也稱為 DMZ 或外聯網)的指導、在外圍網路中部署 AD DS 的各種模型以及只讀的規劃和部署資訊外圍網路中的域控制器 (RODC)。由於 RODC 為外圍網路提供了新功能,因此本指南中的大部分內容都描述瞭如何規劃和部署這一新的 Windows Server 2008 功能。但是,本指南中介紹的其他 Active Directory 模型也是適用於您的外圍網路的可行解決方案。

引用自:https://serverfault.com/questions/13014