Active Directory em um DMZ

A equipe do Active Directory na Microsoft lançou um guia com práticas recomendadas para executar o AD em uma DMZ.

Serviços de Domínio Active Directory na rede de perímetro (Windows Server 2008)

O guia abrange os seguintes modelos de AD para a rede de perímetro:

• Não há Active Directory (contas locais)
• Modelo florestal isolado
• Modelo de floresta corporativa estendido
• Modelo de confiança de floresta

Este guia contém instruções para determinar se os Serviços de Domínio Active Directory (AD DS) são apropriados para sua rede de perímetro (também conhecida como DMZs ou extranets), os vários modelos para implantar o AD DS em redes de perímetro e planejamento e informações de implantação para RODCs (Read Only Domain Controllers) na rede de perímetro. Como os RODCs fornecem novos recursos para redes de perímetro, a maior parte do conteúdo deste guia descreve como planejar e implantar esse novo recurso do Windows Server 2008. No entanto, os outros modelos do Active Directory apresentados neste guia também são soluções viáveis para a sua rede de perímetro.

Você pode criar um AD separado para o DMZ e realmente bloquear os controladores de domínio no DMZ. Dessa forma, você tem dois pontos para manter contas, e pode dar um passo adiante estabelecendo uma relação de confiança para que você possa fazer login no seu DMZ AD com suas contas internas do AD.

Isso depende de como você pretende gerenciar os usuários.

Se os usuários já existirem internamente, minha abordagem seria usar a estrutura do AD existente.

Se for apenas uma questão de ter 10 caixas do IIS, todas precisam do mesmo acesso à conta de usuário, então defina uma estrutura de AD separada dentro da DMZ.

Se as contas de usuário precisarem existir apenas em cada caixa. Então, as contas locais serão a melhor abordagem.

Como em tudo, a exposição é uma compensação pela segurança. Mas um firewall configurado corretamente não colocará seu AD em risco significativo, apenas unindo suas caixas do IIS ao domínio.