我正在设计一个具有多个域的 Active Directory。此时,我正在尝试决定我们的 DMZ 应该位于单独的林中还是单独的域中。我认识到,这些讨论的一部分是基于个人意见,这两种方法都有优缺点。主要重点是使用广泛的防火墙规则保护 DMZ 的内部安全,DMZ 将存在于互联网上。这是一个新的林,将具有 Server 2008R2 功能,没有遗留资源。环境中也没有电子邮件服务。
以下按重要性顺序列出了这些要求。
- 保护内部网络
- 提供单点登录(测试表明这两种情况下都可以正常工作)
- 为不同的安全模型提供最大的灵活性。(最终用户会做出疯狂的事情)
- 最小化复杂性(我知道这主张单一森林并且与第 3 条相矛盾)
我倾向于单一森林,有人可以争论一下替代方案吗?
答案1
从安全角度来看,单林方法显然会带来一些问题。您在做决定时需要权衡这些问题。
对我来说,最明显的问题是,在单林部署中,您放置在 DMZ 中的 DC 可能需要容纳全局目录 (GC),才能有效地为您想要联系的应用程序和用户提供服务。在这种情况下,您现在已将整个林中每个 AD 对象的副本放置在该服务器上。我会小心处理这个问题。