Os servidores web devem ser membros de um domínio do Active Directory?

Se você quiser usar a delegação Kerberos para criar uma infraestrutura segura (e VOCÊ FAZ), precisará ingressar nesses servidores Web no domínio. O servidor da Web (ou conta de serviço) precisará da capacidade de delegar atribuído a ele para permitir a representação do usuário em seu servidor SQL.

Você deseja evitar a utilização da autenticação baseada em SQL no SQL Server se tiver requisitos de auditoria ou estatutários para rastreamento de acesso a dados (HIPAA, SOX, etc.). Você deve estar rastreando o acesso por meio de seu processo de provisionamento (ou seja, quem está em quais grupos, como isso foi aprovado e por quem) e todo o acesso aos dados deve ser feito por meio de uma conta atribuída ao usuário.

Para problemas DMZ relacionados ao acesso ao AD , você pode resolver um pouco disso com o Server 2008 usando um DC somente leitura (RODC), mas ainda há risco de implantar na DMZ. Existem também algumas maneiras de forçar um DC a usar portas específicas para passar por um firewall, mas esse tipo de cutomização pode dificultar o problema de problemas de autenticação.

Se você tiver necessidades específicas para permitir que os usuários da Internet e da Intranet acessem o mesmo aplicativo, talvez seja necessário investigar o uso de um dos produtos de Serviços Federados, seja da oferta da Microsoft ou algo como Ping Federated.

Uso interno, absolutamente. Dessa forma, eles são gerenciados pelo GPO, o patch não é tão difícil e o monitoramento pode ser realizado sem muitas soluções alternativas.

Na DMZ, geralmente eu aconselharia não, eles não deveriam estar na DMZ. Se eles estiverem no domínio e na DMZ, o problema que você enfrenta é que o servidor da Web deve ter certa conectividade de volta para pelo menos um controlador de domínio. Portanto, se um invasor externo comprometer o servidor da Web, ele poderá iniciar ataques diretamente contra um dos DCs. Possua o DC, possui o domínio. Domine o domínio, seja dono da floresta.

Por que não ter um domínio de servidor da Web na DMZ?

Pode ser uma floresta separada com uma relação de confiança unidirecional para administrar o domínio de seu domínio principal sem conceder nenhuma permissão ao domínio do WS para seu domínio principal.

Todas as alegrias do AD / WSUS / GPO - especialmente úteis se você tiver um farm inteiro delas - e, se estiver comprometido, não é sua rede principal.

Se o servidor da Web estiver na mesma rede que o (s) Controlador (es) de Domínio, eu definitivamente o adicionaria ao domínio - pois isso obviamente adiciona uma grande capacidade de gerenciamento. No entanto, eu normalmente tentaria colocar servidores da Web em uma DMZ para aumentar a segurança - o que torna o acesso ao domínio impossível sem buracos (e isso é uma péssima ideia!)

Como outros já mencionaram, se eles são públicos e não exigem autenticação de usuários no diretório, então não coloque-os no domínio.

No entanto, se você precisar de algum tipo de autenticação ou pesquisa de informações do AD, possivelmente procure executar o Modo de Aplicativo do Active Directory ( ADAM ) na DMZ. Talvez seja necessário replicar as informações relevantes do AD para a Partição Applicaton, pois o ADAM não sincroniza as partições padrão do AD.

Se você está apenas procurando recursos de gerenciamento, o ADAM não se aplica.