você pode obter o melhor dos dois mundos. O AD LDS pode ser implementado e federado com o seu domínio. Consulte este artigo . uma visão geral
Você prefere executar os servidores da Web do IIS dentro de uma DMZ que faz parte da AD da organização maior ou prefere sacrificar a facilidade de gerenciamento e o controle do usuário sobre a (possivelmente percebida) segurança?
Atualmente, executamos nossas caixas do IIS fora do domínio e isso nos permite manter uma regra unidirecional com nosso firewall (sem tráfego de DMZ para LAN, exceto 1 porta SQL). No entanto, isso significa que agora preciso usar a autenticação não AD e sincronizar manualmente as senhas nas caixas.
Qual é mais seguro?
encontrou uma resposta aqui Diretório ativo em uma DMZ
você pode obter o melhor dos dois mundos. O AD LDS pode ser implementado e federado com o seu domínio. Consulte este artigo . uma visão geral
Temos produtos de prateleira que exigem a execução do software em um servidor IIS com domínio. Além disso, pelo menos um dos pacotes OTS que temos é projetado para ser voltado para a Internet e necessário para ser dominado. Alguns podem chamar isso de um aplicativo mal projetado, mas temos que usá-lo para que a pergunta seja um pouco discutível.
Executamos nossos servidores IIS em um domínio - seu próprio domínio. Quando a identidade e os serviços do pool de aplicativos são executados em uma conta de domínio, é muito mais fácil controlar o acesso a arquivos, dados e outros recursos compartilhados em diferentes máquinas. Seus benefícios são segurança, escalabilidade e facilidade de uso para este modelo. Não consigo pensar em qualquer risco de colocar o servidor IIS em um domínio difícil de gerenciar.