DMZ中的

Question

管理DMZ中Windows服务器的用户帐户的最佳方法是什么？我们正在扩大我们的网络存在，并增加了几个IIS服务器到我们的DMZ。我不喜欢管理一堆本地帐户，或者，另一方面，也不要直接向DMZ公开我们的内部服务器。是否有一个标准的方法来解决这个问题？

Answer 1

Microsoft的Active Directory团队发布了一份指南，提供了在DMZ中运行AD的最佳实践。

外围网络中的域服务(Windows 2008)

本指南涵盖了周界网络的下列AD模型：

• 没有活动目录(本地帐户)
• 孤立森林模型
• 扩展企业森林模型
• 森林信任模型

本指南包含用于确定Active域服务(AD )是否适合您的外围网络(也称为DMZ或extranets)、在外围网络中部署AD DS的各种模型以及外围网络中只读域控制器(RODC)的规划和部署信息的指导。由于RODC为外围网络提供了新功能，因此本指南中的大部分内容描述了如何规划和部署新的Windows 2008功能。但是，本指南中介绍的其他Active模型对于周边网络也是可行的解决方案。

Answer 2

您可以为DMZ创建一个单独的AD，并真正锁定DMZ中的域控制器。这样，您就有两个位置可以维护帐户，并且可以通过建立信任来更进一步，这样您就可以使用内部AD帐户登录DMZ。

Answer 3

这将取决于您打算如何管理用户。

如果用户已经在内部存在，我的方法将是使用现有的AD结构。

如果只是有10个IIS框，所有这些都需要相同的用户帐户访问，那么在DMZ内建立一个独立的AD结构。

如果用户帐户只需要存在于每个框中。那么，本地帐户将是最好的方法。

和所有的事情一样，暴露是安全的一种权衡。但是，只要将IIS框连接到域中，正确配置的防火墙不会给AD带来很大的风险。