DMZ中的成员服务器

Question

我想对具体的条款加以说明。当我说DMZ的时候，我说的是一个地方，你会把服务器暴露在不受信任的网络上，比如互联网，或者在某些情况下仅仅是不受信任的网络。

我试图通过审计我们通过防火墙暴露的内容来巩固我们的网络边界。我所说的防火墙不是微软的ISA服务器，永远不会是。如果您中有人处于这种情况，您知道允许成员服务器连接到域控制器所需的端口非常广泛。Microsoft试图解决这一问题，提供了几种使用RODC来减少开放端口数量的设计，但即使仅是一个端口，Active本身也是未经授权的人员入侵DMZ成员服务器的大量信息。

对于DMZ中的AD成员服务器，有什么共识？太不安全了，还是可接受的风险？假设前者(我倾向于使用的地方)，除了本地帐户身份验证之外，还有比AD更安全的选项来验证登录DMZ Windows服务器的用户吗？如果没有，那么是否有一种机制可以在登录时将本地帐户与真实的人关联起来，以便进行审计？似乎跟踪独立服务器DMZ中用户行为的唯一选择是为登录到服务器的每个用户创建本地计算机帐户。

当然，理想情况下，您没有人登录服务器进行正常操作；整个业务应该由代理使用服务帐户进行管理(这是另一次讨论)。但现在我们的操作还没有“在那里”。我们希望DSC能使这一操作成为可能。

对于我来说，微软推荐的重点不是不切实际就是漏掉了重点。仅用于DMZ的Active Directory降低了入侵者收集情报的能力，但仍然将向量保留在原地。他们的解决方案所能做的最好就是通过将该情报限制在DMZ (再加上您的DMZ可能提供的任何其他服务)来分割风险婴儿。交易是每个非军事区的广告。所以现在你的管理员正在管理一个帐户+N个DMZ。

并不是说微软正在监听，而是需要一种中间方式来创作windows用户，但不需要使用凭据来执行诸如枚举LDAP用户之类的任务。

Answer 1

我不知道别人的感受，但我的观点是：

如果AD服务器用于公司/内部身份验证/授权，那么它永远不应该在DMZ上。如果在外部可用的应用程序上使用它，那么是的--它属于那里，假设它根本没有进入DRN的钩子。

如前所述，DMZ允许不受信任的网络访问所提供的服务。这些服务可能被破坏，如果您的内部目录在那里-它也会。