Я подумываю о развертывании DirectAccess в нашей сети, но у меня есть некоторые опасения по поводу требования присоединить сервер DirectAccess к домену, особенно потому, что он будет в DMZ. Правила брандмауэра на внешнем брандмауэре для меня довольно просты (в значительной степени это TCP443, поскольку он будет преобразован через NAT, поэтому порты 6to4 и teredo не требуются), но внутренний брандмауэр менее понятен.
Кто-нибудь еще здесь развернул DA? Если не открыть весь трафик IPv4 и IPv6 с сервера DA во внутреннюю сеть в соответствии с рекомендацией Microsoft (которую мы не собираемся получать), что именно нужно открыть? Все порты, необходимые для работы AD DS, а также какие сервисы / ресурсы должны быть доступны нашим клиентам?
Я думал об использовании контроллера домена только для чтения в демилитаризованной зоне, но, очевидно, требуется контроллер домена чтения / записи (несмотря на то, что потоки предполагают, что он работает в некоторых случаях).
Я развертывал DirectAccess несколько раз. ;) Вы правы, требуются все протоколы / порты, необходимые для связи домена, а также те, которые необходимы подключенным клиентам DirectAccess для использования внутренних ресурсов. Как видите, это довольно широкий путь, который придется открыть из DMZ в LAN. Определенно не лучшая идея. RODC не поддерживается DirectAccess, так что этого решения тоже нет.
Вы можете настроить сервер DirectAccess с двумя сетевыми адаптерами и разместить внешний сетевой адаптер в DMZ, а внутренний сетевой адаптер - в локальной сети. Фактически вы соединяете свою локальную сеть мостом, и некоторые администраторы возражают против этого.
Другой вариант - разместить сервер DirectAccess в локальной сети с одной сетевой картой. Для этого потребуется открыть только один порт из DMZ в LAN - TCP-порт 443.
Надеюсь, это поможет!