Active-Directory

通過 Pfsense 在 WAN 和 LAN 之間建立森林信任關係

  • November 5, 2020

我正在使用具有 3 個介面的 Pfsense:LAN、DMZ 和 WAN。LAN 包含我的域控制器和我的主要森林(abc.com),DMZ 包含一些 Web 伺服器。另一個林位於 Internet 上的其他位置,因此位於 WAN 介面上。按照嚴格的政策,我完全阻止了從 WAN 到 LAN 的流量,只允許從 WAN 到 DMZ 的 HTTP/HTTPS。我的問題是在兩個森林(WAN -> LAN)之間安全地建立信任關係的最佳方法是什麼。為所需的特定協議打開埠似乎有風險,其他人不鼓勵在 DMZ 中使用只讀域控制器,那麼最安全的方法是什麼?

我想說你首先需要在兩個站點之間建立一個 VPN 隧道,然後建立信任,這樣你就不會將關鍵的 AD 基礎設施直接暴露給 Internet。IPSec/IKEv2 是站點到站點 VPN 隧道的目前最佳實踐。

引用自:https://serverfault.com/questions/1041466