DMZ的森林或域

Question

我正在设计一个具有多个域的。在这一点上，我试图决定我们的DMZ应该是在一个单独的森林还是在一个单独的领域。我认识到，有些讨论是基于意见的，这两种方法各有优缺点。主要关注的是从DMZ保护内部，这将生活在互联网上与广泛的防火墙规则。这是一个新的森林，将服务器2008R2功能，没有遗留资源。环境中也没有电子邮件服务。

所需经费按重要性排列如下。

1. 保护内部网络
2. 提供单点登录(测试表明这在两种情况下都很好)
3. 为不同的安全模型提供最大的灵活性。(终端用户做疯狂的事情)
4. 将复杂性降到最低(我知道这支持单一森林，并与#3相矛盾)

我倾向于单一的森林，有谁来争论另一种选择？

Answer 1

从安全性的角度来看，单森林方法显然带来了一些关注。你在做决定的时候需要权衡一下。

对我来说，最明显的问题是，在一个单一的森林部署中，您在DMZ中放置的DC很可能需要容纳Global (GC)，以便有效地为您想要访问的应用程序和用户提供服务。在这种情况下，您现在已经将整个林中的每个AD对象的副本放置到该服务器上。我会小心点的。