Соображения безопасности для AD с односторонним доверием от DMZ к корпоративной локальной сети

Я разработчик Sharepoint, и меня попросили развернуть сервер Sharepoint в демилитаризованной зоне, доступ к которому осуществляется из корпоративной локальной сети.

В настоящее время DMZ имеет общедоступные IP-адреса (которые защищены брандмауэром), и корпоративная локальная сеть подключается к этой DMZ с помощью VPN типа "сеть-сеть" для доступа к приложениям, размещенным там.

Внедрение Sharepoint требует, чтобы мы поместили сервер Sharepoint в DMZ в домен Active Directory корпоративной сети, но это было отклонено.

Вместо этого должно произойти, если в DMZ будет настроен новый контроллер домена, и должно существовать одностороннее доверие, чтобы пользователи в корпоративной локальной сети могли проходить аутентификацию на сервере Sharepoint. Серверы в демилитаризованной зоне не могут видеть корпоративную локальную сеть, и этого также не произойдет, поэтому предполагается, что вторичный контроллер домена (нашей AD DMZ) будет существовать с множеством соединений с подключениями как к корпоративной локальной сети, так и к сети DMZ.

Предполагается, что пользователи, проходящие аутентификацию в приложениях в DMZ, будут работать в силу того, что один из контроллеров домена находится в обеих сетях.

У меня есть сомнения относительно этой настройки, и я бы предпочел, чтобы корпоративная локальная сеть была расширена, чтобы включить сервер Sharepoint и включить его в корпоративный домен.

Что произойдет, если пользователь подключится к серверу Sharepoint и попытается выполнить доверенный вход, если сервер Sharepoint сможет видеть только DC в DMZ?

Есть ли смысл иметь 2 DC в этом случае? Можно ли использовать многосетевой DC или у нас должны быть правила для серверов DMZ, чтобы они могли подключаться к корпоративной локальной сети?