Назад | Перейти на главную страницу

Контроллеры домена Active Directory в DMZ

Я собираюсь развернуть 2 дополнительных контроллера домена Windows Server 2003 в отдельной конфиденциальной DMZ вместе с 6 контроллерами домена, установленными в обычной сети, что составляет в общей сложности 8 контроллеров домена. 2 конфиденциальных контроллера домена будут связываться с обычными сетевыми контроллерами домена через межсетевые экраны через IPSec.

Однако мне интересно, как я могу остановить обычные сетевые рабочие станции и серверы, пытающиеся пройти аутентификацию с конфиденциальными контроллерами домена? Есть ли способ использовать сайты и службы AD, чтобы остановить попытки обычных сетевых рабочих станций и серверов связываться с этими конфиденциальными контроллерами домена?

Я пытаюсь сказать, возникнет ли проблема, или когда обычная сетевая рабочая станция или сервер попытается аутентифицироваться с конфиденциальными контроллерами домена, и время, когда это вызовет проблемы, или будет время ожидания и попытка другого контроллера домена будет продолжена?

Вы не можете полностью предотвратить попытки клиентских компьютеров связываться с ними «когда-либо», но, поместив их на отдельный сайт AD (при условии, что они находятся в другой подсети, чем «производственные» контроллеры домена), вы предотвратите клиентские компьютеры от попыток доступа к ним до тех пор, пока хотя бы один из «рабочих» контроллеров домена остается активным. Если все «рабочие» контроллеры домена недоступны, клиенты будут пытаться связаться с контроллером домена на другом сайте - потенциально «конфиденциальном».

В качестве упреждения, если кто-то предлагает это в другом ответе: попытка играть в игры с записями DNS, созданными «конфиденциальными» контроллерами домена, вероятно, плохая идея. Я не сомневаюсь, что есть способ манипулировать записями DNS, которые регистрируют контроллеры домена, чтобы остановить аутентификацию, но по-прежнему разрешить репликацию, но я не могу представить, чтобы Microsoft «поддержала» такой обезьяний бизнес.

Лучшим ответом (если возможно) будет использование ADAM (теперь называемого AD LDS) вместо размещения реальных контроллеров домена в DMZ. Если бы нет, я бы обязательно установил изоляция домена

Мы развертываем контроллер домена Windows Server 2008 только для чтения в нашей демилитаризованной зоне для веб-служб. Раньше мы использовали сервер 2003 года с локальными учетными записями, но это был кошмар для руководства. Мы следим это руководство используя новый лес в DMZ и создавая одностороннее доверие, чтобы наши внутренние пользователи могли аутентифицироваться со своими существующими учетными записями.