DMZ 的林或域

我正在設計具有多個域的 Active Directory。在這一點上，我正在嘗試決定我們的 DMZ 是應該在單獨的林中還是在單獨的域中。我承認有些討論是基於意見的，這兩種方法都有優缺點。主要重點是保護內部免受 DMZ 的影響，DMZ 將使用廣泛的防火牆規則在 Internet 上執行。這是一個新的林，將在 Server 2008R2 中執行，沒有遺留資源。環境中也沒有電子郵件服務。

下面按重要性順序列出了這些要求。

1. 保護內部網路
2. 提供單點登錄（測試表明這在兩種情況下都可以正常工作）
3. 為不同的安全模型提供最大的靈活性。（最終使用者做瘋狂的事情）
4. 最小化複雜性（我知道這支持單一森林並與＃3相矛盾）

我傾向於單一森林，有人反對嗎？

從安全形度來看，單一森林方法顯然會引入一些問題。當你做出決定時，你需要權衡這些。

對我來說，最明顯的問題是，在單個林部署中，您放置在 DMZ 中的 DC 可能需要容納全域目錄 (GC) 以有效地為您正在尋找的應用程序和使用者提供服務到達。在這種情況下，您現在已將整個林中每個 AD 對象的副本放置到該伺服器上。我會小心的。

引用自：https://serverfault.com/questions/204792