Windows Web 服务器是否应该是 Active Directory 域的成员

绝对内部使用。这样一来，它们就由 GPO 管理，打补丁就没有那么困难了，并且无需大量变通方法即可完成监控。

在 DMZ 中，一般我建议不，它们不应该在 DMZ 上。如果它们在域中并且在 DMZ 中，那么您遇到的问题是 Web 服务器必须与至少一个 DC 具有一定的连接性。因此，如果外部攻击者破坏了 Web 服务器，他或她现在可以直接对其中一个 DC 发起攻击。拥有 DC，拥有域。拥有领域，拥有森林。

如果您想使用 Kerberos 委派来构建安全的基础架构（并且您确实这样做了），您需要将这些 Web 服务器加入到域中。Web 服务器（或服务帐户）需要能够委派分配给它，以便允许用户模拟您的 SQL 服务器。

如果您对跟踪数据访问（HIPAA、SOX 等）有任何审计或法定要求，您可能希望远离在 SQL 服务器上使用基于 SQL 的身份验证。您应该通过配置过程跟踪访问（即谁在哪些组，如何批准以及由谁批准）以及对数据的所有访问都应通过用户分配的帐户进行。

对于与访问 AD 相关的 DMZ 问题，您可以使用 Server 2008 使用只读 DC (RODC) 解决其中的一些问题，但部署到 DMZ 中仍然存在风险。也有一些方法可以强制 DC 使用特定端口来穿透防火墙，但这种类型的定制化会使解决身份验证问题变得困难。

如果您有允许 Internet 和 Intranet 用户访问同一应用程序的特定需求，您可能需要考虑使用其中一种联合服务产品，无论是 Microsoft 产品还是 Ping Federated 之类的产品。

为什么在 DMZ 中没有 Web 服务器的域？

它可能是一个单独的林，具有单向信任关系，可以从您的主域管理域，而无需为您的主域授予 WS 域的任何权限。

AD/WSUS/GPO 的所有乐趣——如果你有一个完整的农场特别有用——如果它受到损害，它就不是你的主网络。

如果网络服务器与域控制器在同一个网络上，那么我肯定会将它添加到域中 - 因为这显然增加了很多可管理性。但是，我通常会努力将网络服务器放在 DMZ 中以提高安全性——这使得在没有针孔的情况下无法访问域（这是一个非常糟糕的主意！）

正如其他人所提到的，如果这些是面向公众的并且不需要根据目录对用户进行身份验证，那么不要将它们放在域中。

但是，如果您需要某种身份验证或从 AD 中查找信息，可以考虑在 DMZ 中运行 Active Directory 应用程序模式 ( ADAM )。您可能需要将 AD 中的相关信息复制到应用程序分区中，因为 ADAM 不会同步标准 AD 分区。

但是，如果您只是在寻找管理功能，则 ADAM 不适用。