域控制器和交換機在網路中的位置

我正在尋找在中小型網路（50 多個使用者，20 多個虛擬伺服器）中安全部署 Windows 域控制器和交換的最佳實踐。拓撲是位於 wan 和內部路由器（l3 交換機）之間的單個防火牆，並且防火牆具有 dmz 支路。我們有使用者、伺服器等 vlan。您將如何部署它們？

謝謝。

一般規則很簡單：將可公開訪問的伺服器放在 DMZ 子網中，將內部使用的伺服器放在內部子網中。相應地配置您的防火牆。

域控制器應放在內部子網中，除非需要使其可公開訪問？？

根據您的電子郵件伺服器是用於私人/公共用途，Exchange 伺服器可以公開訪問或僅在內部使用。

引用自：https://serverfault.com/questions/375892