Назад | Перейти на главную страницу

Лес или домен для DMZ

Я разрабатываю Active Directory с несколькими доменами. На этом этапе я пытаюсь решить, должна ли наша DMZ находиться в отдельном лесу или в отдельном домене. Я понимаю, что некоторые из этих обсуждений основаны на мнениях, и у обоих подходов есть свои плюсы и минусы. Основное внимание уделяется защите внутренней части от DMZ, которая будет находиться в Интернете с широкими правилами брандмауэра. Это новый лес, и он будет работать с Server 2008R2, унаследованных ресурсов нет. Также в среде нет почтовых сервисов.

Требования перечислены ниже в порядке важности.

  1. Защитите внутреннюю сеть
  2. Обеспечьте единый вход (тесты показывают, что это работает нормально в обоих случаях)
  3. Обеспечьте максимальную гибкость для различных моделей безопасности. (Конечные пользователи делают сумасшедшие вещи)
  4. Минимизировать сложность (я знаю, что это аргумент в пользу единственного леса и противоречит пункту 3)

Я склоняюсь к единому лесу, кто-нибудь спорит с альтернативой?

С точки зрения безопасности метод единого леса, очевидно, вызывает некоторые опасения. Вам нужно будет взвесить их, когда вы будете принимать решение.

Для меня наиболее очевидной проблемой было бы то, что при развертывании одного леса вполне вероятно, что DC, который вы размещаете в DMZ, потребуется для размещения глобального каталога (GC) для эффективного обслуживания приложений и пользователей, которых вы ищете. достигать. В этом случае вы поместили на этот сервер копию каждого объекта AD во всем лесу. Я буду осторожен с этим.