我是Sharepoint开发人员,并被要求在DMZ内部署Sharepoint服务器,该服务器将从公司局域网访问。
目前,DMZ具有公共IP(受防火墙保护),公司LAN通过站点到站点VPN连接到该DMZ,以便访问托pipe在那里的应用程序。
Sharepoint的引入要求我们将DMZ中的Sharepoint服务器放到企业networking的Active Directory域中,但这已被拒绝。
接下来发生的事情是在DMZ中将设置一个新的域控制器,并且应该存在单向信任,以便公司LAN中的用户可以在Sharepoint服务器上进行身份validation。 DMZ中的服务器无法看到企业局域网,也不会出现这种情况,所以我们提出的build议是,(我们的DMZ AD中的)二级域控制器将与企业LAN和DMZnetworking连接在一起。
据推测,在DMZ的应用程序中进行身份validation的用户将凭借其中一个DC在两个networking上工作。
我对此设置有疑问,并希望将公司LAN扩展为包含Sharepoint服务器并将其join公司域。
仅仅因为一个DC将在企业局域网中,如果Sharepoint服务器只能在DMZ中看到DC,当用户点击Sharepoint服务器并尝试进行信任login时会发生什么情况?
在这种情况下有2个DC有什么意义吗? 多宿主DC是否要走,还是应该制定DMZ服务器能够访问企业LAN的规则?