Cross-Domain
DMZ 的林或域
我正在設計具有多個域的 Active Directory。在這一點上,我正在嘗試決定我們的 DMZ 是應該在單獨的林中還是在單獨的域中。我承認有些討論是基於意見的,這兩種方法都有優缺點。主要重點是保護內部免受 DMZ 的影響,DMZ 將使用廣泛的防火牆規則在 Internet 上執行。這是一個新的林,將在 Server 2008R2 中執行,沒有遺留資源。環境中也沒有電子郵件服務。
下面按重要性順序列出了這些要求。
- 保護內部網路
- 提供單點登錄(測試表明這在兩種情況下都可以正常工作)
- 為不同的安全模型提供最大的靈活性。(最終使用者做瘋狂的事情)
- 最小化複雜性(我知道這支持單一森林並與#3相矛盾)
我傾向於單一森林,有人反對嗎?
從安全形度來看,單一森林方法顯然會引入一些問題。當你做出決定時,你需要權衡這些。
對我來說,最明顯的問題是,在單個林部署中,您放置在 DMZ 中的 DC 可能需要容納全域目錄 (GC) 以有效地為您正在尋找的應用程序和使用者提供服務到達。在這種情況下,您現在已將整個林中每個 AD 對象的副本放置到該伺服器上。我會小心的。