我们的组织非常乐意将用户应用程序的 IIS 部分放在 DMZ 中,这样可以验证用户是否能够进行内部连接。这显然不是 RDS 2012 的路线图。我们不会得到在 DMZ 中创建任何类型的 DC 的批准,而将域成员放在那里似乎完全违背了其目的。
我现在真的不知道该怎么做,因为将网关角色作为域成员放在 DMZ 中似乎是 MS 支持的最接近的解决此问题的方法。有没有办法鱼与熊掌兼得(强制用户在将他们传递到 LAN 服务器之前进行身份验证)并吃掉它(将 AD 放在我的 DMZ 之外)?
谢谢您的任何意见。