Лес или Домен для DMZ

Question

Лес или Домен для DMZ

Я разрабатываю Active Directory с несколькими доменами. На данный момент я пытаюсь решить, должна ли наша DMZ находиться в отдельном лесу или в отдельном домене. Я признаю, что некоторые из этих дискуссий основаны на мнении, у обоих подходов есть свои плюсы и минусы. Основное внимание уделяется защите внутренней части от демилитаризованной зоны, которая будет жить в Интернете с широкими правилами брандмауэра. Это новый лес и будет функционировать с Server 2008R2, устаревших ресурсов нет. В окружающей среде также нет почтовых сервисов.

Требования перечислены ниже в порядке важности.

Защитите внутреннюю сеть
Обеспечить единый вход (тесты показывают, что это работает нормально в обоих случаях)
Обеспечить максимальную гибкость для различных моделей безопасности. (Конечные пользователи делают сумасшедшие вещи)
Минимизировать сложность (я знаю, что это аргументируется для одного леса и противоречит № 3)

Я склоняюсь в сторону одного леса, кто-нибудь, чтобы утверждать альтернативу?

1

active-directory cross-domain

Источник

Tom Seibert 22 ноя '10 в 17:26

1 ответ

Решение

Другие вопросы по тегам active-directory cross-domain

CurtM 22 ноя '10 в 17:52 2010-11-22 17:52 · Accepted Answer · 2010-11-22 17:52

С точки зрения безопасности, метод с одним лесом, очевидно, создает некоторые проблемы. Вам нужно будет взвесить их, когда вы принимаете решение.

Для меня наиболее очевидной проблемой было бы то, что при развертывании в одном лесу вероятно, что DC, который вы поместите в DMZ, потребуется для размещения Глобального каталога (GC) для эффективного обслуживания приложений и пользователей, которых вы ищете. достигать. В этом случае вы теперь поместили копию каждого объекта AD во всем лесу на этот сервер. Я был бы осторожен с этим.