Eu tenho um servidor de aplicativos voltado para a Internet que desejo usar a autenticação do AD. Esta é a minha primeira vez fazendo isso para um aplicativo nenhum MS ou sem algum tipo de proxy. Eu já tenho uma idéia em minha mente sobre como realizar isso. Eu queria ter certeza de que não estava perdendo uma falha de segurança óbvia.
Minha ideia atual é que o tráfego da Internet vá para um servidor de aplicativo da web DMZ, permitindo somente o tráfego HTTPS / 443 e negando todos os outros, incluindo o tráfego de saída (não incluindo LDAPS).
Dentro da DMZ temos um controlador de domínio somente leitura que negará todo o tráfego in-out ao lado do necessário para LDAPS e portas necessárias para o RODC (com base nas práticas recomendadas do MS RODC DMZ). O RODC não terá tráfego de internet direto.
Rede interna Eu terei um controlador de domínio regular.
Toda a comunicação entre o WebApp e o RODC será LDAPS. Toda a comunicação IP entre os três servidores usará o IPSEC para autenticar e criptografar o tráfego IP.
O RODC será filtrado para conter apenas dados de nome de usuário, sem senha ou outros dados. Ele consultará o DC interno todas as vezes por demanda. O WebApp e o RODC serão uma instalação do Núcleo do Servidor e nenhuma GUI.
WebApp ---- | IPSEC / LDAPS | --- & RDC ----- | IPSEC / LDAPS | --- > DC interno
Obviamente, todo servidor será bloqueado para permitir apenas o tráfego IP direto com a porta necessária e nada mais.
Estou faltando alguma coisa?