Я разрабатываю Active Directory с несколькими доменами. На этом этапе я пытаюсь решить, должна ли наша DMZ находиться в отдельном лесу или в отдельном домене. Я понимаю, что некоторые из этих обсуждений основаны на мнениях, и у обоих подходов есть свои плюсы и минусы. Основное внимание уделяется защите внутренней части от DMZ, которая будет находиться в Интернете с широкими правилами брандмауэра. Это новый лес, и он будет работать с Server 2008R2, унаследованных ресурсов нет. Также в среде нет почтовых сервисов.
Требования перечислены ниже в порядке важности.
Я склоняюсь к единому лесу, кто-нибудь спорит с альтернативой?
С точки зрения безопасности метод единого леса, очевидно, вызывает некоторые опасения. Вам нужно будет взвесить их, когда вы будете принимать решение.
Для меня наиболее очевидной проблемой было бы то, что при развертывании одного леса вполне вероятно, что DC, который вы размещаете в DMZ, потребуется для размещения глобального каталога (GC) для эффективного обслуживания приложений и пользователей, которых вы ищете. достигать. В этом случае вы поместили на этот сервер копию каждого объекта AD во всем лесу. Я буду осторожен с этим.