Cross-Domain

DMZ 的林或域

  • November 22, 2010

我正在設計具有多個域的 Active Directory。在這一點上,我正在嘗試決定我們的 DMZ 是應該在單獨的林中還是在單獨的域中。我承認有些討論是基於意見的,這兩種方法都有優缺點。主要重點是保護內部免受 DMZ 的影響,DMZ 將使用廣泛的防火牆規則在 Internet 上執行。這是一個新的林,將在 Server 2008R2 中執行,沒有遺留資源。環境中也沒有電子郵件服務。

下面按重要性順序列出了這些要求。

  1. 保護內部網路
  2. 提供單點登錄(測試表明這在兩種情況下都可以正常工作)
  3. 為不同的安全模型提供最大的靈活性。(最終使用者做瘋狂的事情)
  4. 最小化複雜性(我知道這支持單一森林並與#3相矛盾)

我傾向於單一森林,有人反對嗎?

從安全形度來看,單一森林方法顯然會引入一些問題。當你做出決定時,你需要權衡這些。

對我來說,最明顯的問題是,在單個林部署中,您放置在 DMZ 中的 DC 可能需要容納全域目錄 (GC) 以有效地為您正在尋找的應用程序和使用者提供服務到達。在這種情況下,您現在已將整個林中每個 AD 對象的副本放置到該伺服器上。我會小心的。

引用自:https://serverfault.com/questions/204792