Я разработчик Sharepoint, и меня попросили развернуть сервер Sharepoint в DMZ, доступ к которому будет осуществляться из корпоративной LAN.
В настоящее время DMZ имеет общедоступные IP-адреса (которые защищены брандмауэром), а корпоративная локальная сеть подключается к этой DMZ с помощью VPN типа "сеть-сеть" для доступа к приложениям, размещенным там.
Внедрение Sharepoint требует от нас перенести сервер Sharepoint в DMZ на домен Active Directory корпоративной сети, но это было отклонено.
Вместо этого в демилитаризованной зоне будет установлен новый контроллер домена и должно существовать одностороннее доверие, чтобы пользователи в корпоративной локальной сети могли аутентифицироваться на сервере Sharepoint. Серверы в демилитаризованной зоне не могут видеть корпоративную локальную сеть, и этого также не произойдет, поэтому предполагается, что вторичный контроллер домена (нашей демилитаризованной зоны AD) будет существовать в многосетевом режиме с подключениями как к корпоративной локальной сети, так и к сети демилитаризованной зоны.
Предполагается, что пользователи, проходящие аутентификацию в приложениях в DMZ, будут работать благодаря тому, что один из DC находится в обеих сетях.
У меня есть сомнения по поводу такой настройки, и я бы предпочел, чтобы корпоративная локальная сеть была расширена, чтобы включить сервер Sharepoint и присоединить его к корпоративному домену.
Только потому, что один DC будет в корпоративной LAN, что произойдет, когда пользователь попадет на сервер Sharepoint и попытается войти в систему, если сервер Sharepoint сможет видеть DC только в DMZ?
Есть ли смысл в этом случае иметь 2 DC? Подойдет ли многосетевой контроллер домена или у нас должны быть правила для серверов DMZ, чтобы они могли подключаться к корпоративной локальной сети?