啟用 AD LDS 服務所需的物理硬體，是否可以將其作為獨立伺服器放置在 DMZ 上

如果我想為單個應用程序實現 AD LDS，它是否需要物理硬體，或者可以在 Web 伺服器或應用程序伺服器上安裝/啟用。通常，如果上述選項不可行，Web 和應用程序伺服器將放置在 DMZ 中，我們可以將獨立的 AD LDS 伺服器放置在 DMZ 中。

這篇 technet 文章應該回答您的大部分問題： http ://technet.microsoft.com/en-us/library/cc755080%28WS.10%29.aspx

LDS 適用於將受益於將數據儲存在目錄中的應用程序，但正如文章所述，它的限制如下：

AD LDS 與 AD DS 的主要區別在於它不儲存 Windows 安全主體。雖然 AD LDS 可以在訪問控制列表 (ACL) 中使用 Windows 安全主體（例如域使用者）來控制對 AD LDS 中對象的訪問，但 Windows 不能對儲存在 AD LDS 中的使用者進行身份驗證或在其 ACL 中使用 AD LDS 使用者。此外，AD LDS 不支持域和林、組策略或全域編錄。

對於最初的問題：是的，它可以安裝在與您的應用程序相同的伺服器上。

引用自：https://serverfault.com/questions/127550