我正在devise一个具有多个域的Active Directory。 在这一点上,我试图决定我们的DMZ应该在一个单独的森林还是在一个单独的域中。 我认识到这个讨论的一些基于意见,两种方法都有其优缺点。 主要的重点是从DMZ中获得内部信息,这些信息将通过广泛的防火墙规则在互联网上生存。 这是一个新的森林,将是Server 2008 R2function,没有传统的资源。 环境中也没有电子邮件服务。
这些要求按重要性排列如下。
我倾向于单一的森林,任何一个争论的替代?
从安全的angular度来看,单一的森林方法显然引起了一些顾虑。 当你做出决定的时候,你需要权衡这些。
对我来说,最明显的问题是,在单个森林部署中,您可能需要放置在DMZ中的数据中心才能容纳全局编录(GC),从而有效地为您正在寻找的应用程序和用户提供服务达到。 在这种情况下,您现在已经将整个森林中的每个AD对象的副本放在该服务器上。 我会小心的。