您是否愿意在属于大型组织 AD 的 DMZ 内运行他们的 IIS 网络服务器,还是愿意牺牲管理的便利性和用户对(可能感知到的)安全性的控制?
我们目前在域外运行 IIS 机箱,这使我们能够使用防火墙保持单向规则(除 1 个 SQL 端口外,没有从 DMZ 到 LAN 的流量)。但是,这意味着我现在必须使用非 AD 身份验证并手动在机箱之间同步密码。
哪一个更安全?
在这里找到答案DMZ 中的 Active Directory
答案1
您可以两全其美。可以实施 AD LDS 并将其与您的域联合,请参见本文概览
答案2
我们有现成的产品,需要我们在域化的 IIS 服务器上运行软件。此外,我们拥有的 OTS 软件包中至少有一个是面向互联网的,需要域化。有些人可能会说这是一个设计糟糕的应用程序,但我们必须使用它,所以这个问题有点无意义。
答案3
我们在域中运行 IIS 服务器 - 它们自己的域。当应用程序池标识和服务在域帐户中运行时,控制对不同计算机上的共享文件、数据和其他资源的访问要容易得多。这种模型具有安全性、可扩展性和易用性优势。我认为将 IIS 服务器放在难以管理的域中不会有什么风险。