Eu tenho três servidores web remotos dedicados em diferentes webhosts. Adicioná-los a um domínio comum tornaria muito mais fácil as tarefas de administração. Como dois dos servidores estão executando o Windows 2008 R2 Standard, pensei em promovê-los aos controladores de domínio para configurar o domínio do Windows. Há outro thread no Serverfault que recomenda isso.
Ao mesmo tempo, eu já li várias vezes em sites diferentes que isso não é uma boa ideia, porque um controlador de domínio deve estar sempre por trás de uma LAN de firewall. Mas não consigo configurar algo assim porque não tenho uma LAN com um IP estático acessível pela Internet. Na verdade, nem tenho um servidor Windows na minha LAN.
O que eu não descobri é porque expor um DC para a Internet seria uma má idéia.
O único risco que vejo é que, se alguém invadir um dos meus servidores da Web, será muito mais fácil penetrar nos outros também. Mas, tanto quanto eu posso ver, esse é o pior cenário, já que estou indo apenas para os servidores da Web nesse domínio, e não para os computadores da minha rede local.
Esta é a única desvantagem ou também facilita a penetração em um dos meus servidores web?
Editar: E se eu adicionasse uma regra de firewall ao DC para que as conexões de entrada para o servidor do AD sejam aceitas somente se originadas dos outros dois servidores da Web? Quero dizer, uma configuração semelhante à descrita no link , mas com regras adicionais baseadas em ip para garantir que o O DC só é acessível para os outros servidores da Web no meu domínio nas portas relevantes.