IdahoX Asked: 2009-05-28 07:20:59 +0800 CST2009-05-28 07:20:59 +0800 CST 2009-05-28 07:20:59 +0800 CST DMZ 中的活动目录 772 在 DMZ 中管理 Windows 服务器的用户帐户的最佳方法是什么?我们正在扩展我们的网络存在,并在我们的 DMZ 中添加多个 IIS 服务器。我不希望管理一堆本地帐户,或者另一方面,将我们的内部 Active Directory 服务器直接暴露给 DMZ。有没有解决这个问题的标准方法? active-directory dmz 3 个回答 Voted David Yu 2009-05-28T07:23:22+08:002009-05-28T07:23:22+08:00 您可以为 DMZ 创建单独的 AD 并真正锁定 DMZ 中的域控制器。这样,您就有两个位置来维护帐户,并且您可以通过建立信任更进一步,以便您可以使用内部 AD 帐户登录到您的 DMZ AD。 Best Answer Sean Earp 2009-05-28T07:30:45+08:002009-05-28T07:30:45+08:00 Microsoft 的 Active Directory 团队发布了一份指南,其中包含在 DMZ 中运行 AD 的最佳实践。 外围网络中的 Active Directory 域服务 (Windows Server 2008) 该指南涵盖了外围网络的以下 AD 模型: 没有 Active Directory(本地帐户) 孤立森林模型 扩展的企业森林模型 森林信任模型 本指南包含确定 Active Directory 域服务 (AD DS) 是否适合您的外围网络(也称为 DMZ 或外联网)的指导、在外围网络中部署 AD DS 的各种模型以及只读的规划和部署信息外围网络中的域控制器 (RODC)。由于 RODC 为外围网络提供了新功能,因此本指南中的大部分内容都描述了如何规划和部署这一新的 Windows Server 2008 功能。但是,本指南中介绍的其他 Active Directory 模型也是适用于您的外围网络的可行解决方案。 Jim March 2009-05-28T07:25:38+08:002009-05-28T07:25:38+08:00 这取决于您打算如何管理用户。 如果用户已经存在于内部,我的方法是使用现有的 AD 结构。 如果只是拥有 10 个 IIS 框,它们都需要相同的用户帐户访问权限,那么在 DMZ 内建立一个单独的 AD 结构。 如果用户帐户只需要存在于每个盒子上。那么本地帐户将是最好的方法。 与所有事情一样,暴露是安全性的权衡。但是,只要将 IIS 框加入域,正确配置的防火墙不会使您的 AD 面临重大风险。
您可以为 DMZ 创建单独的 AD 并真正锁定 DMZ 中的域控制器。这样,您就有两个位置来维护帐户,并且您可以通过建立信任更进一步,以便您可以使用内部 AD 帐户登录到您的 DMZ AD。
Microsoft 的 Active Directory 团队发布了一份指南,其中包含在 DMZ 中运行 AD 的最佳实践。
外围网络中的 Active Directory 域服务 (Windows Server 2008)
该指南涵盖了外围网络的以下 AD 模型:
本指南包含确定 Active Directory 域服务 (AD DS) 是否适合您的外围网络(也称为 DMZ 或外联网)的指导、在外围网络中部署 AD DS 的各种模型以及只读的规划和部署信息外围网络中的域控制器 (RODC)。由于 RODC 为外围网络提供了新功能,因此本指南中的大部分内容都描述了如何规划和部署这一新的 Windows Server 2008 功能。但是,本指南中介绍的其他 Active Directory 模型也是适用于您的外围网络的可行解决方案。
这取决于您打算如何管理用户。
如果用户已经存在于内部,我的方法是使用现有的 AD 结构。
如果只是拥有 10 个 IIS 框,它们都需要相同的用户帐户访问权限,那么在 DMZ 内建立一个单独的 AD 结构。
如果用户帐户只需要存在于每个盒子上。那么本地帐户将是最好的方法。
与所有事情一样,暴露是安全性的权衡。但是,只要将 IIS 框加入域,正确配置的防火墙不会使您的 AD 面临重大风险。