我是一名 Sharepoint 开发人员,被要求在 DMZ 内部署一个可从企业 LAN 访问的 Sharepoint 服务器。
目前,DMZ 具有公共 IP(受防火墙保护),并且企业 LAN 通过站点到站点 VPN 连接到此 DMZ,以访问托管在那里的应用程序。
Sharepoint 的引入要求我们将 DMZ 中的 Sharepoint 服务器纳入企业网络的 Active Directory 域,但这已被拒绝。
实际情况是,将在 DMZ 中设置一个新的域控制器,并且应存在单向信任,以便企业 LAN 中的用户可以在 Sharepoint 服务器上进行身份验证。DMZ 中的服务器无法看到企业 LAN,这也不会发生,因此建议存在一个多宿主的辅助域控制器(我们的 DMZ AD 的辅助域控制器),它同时连接到企业 LAN 和 DMZ 网络。
可以假设,在 DMZ 上的应用程序中进行身份验证的用户将通过其中一个 DC 位于两个网络上来进行。
我对此设置有疑虑,并且希望将企业 LAN 扩展为包含 Sharepoint 服务器并将其加入企业域。
只是因为一个 DC 位于企业 LAN 中,如果 Sharepoint 服务器只能看到 DMZ 中的 DC,那么当用户访问 Sharepoint 服务器并尝试进行受信任登录时会发生什么?
在这种情况下,拥有 2 个 DC 有什么意义吗?多宿主 DC 是可行的方法吗?还是我们应该制定规则,使 DMZ 服务器能够访问公司 LAN?