Forest ou Domain para um DMZ

Navegue suas respostas
1

Estou projetando um Active Directory com vários domínios. Neste ponto, estou tentando decidir se nossa DMZ deve estar em uma floresta separada ou em um domínio separado. Eu reconheço que parte dessa discussão é baseada na opinião, há vantagens e desvantagens para ambas as abordagens. O foco principal é Proteger o interior da DMZ, que viverá na Internet com regras amplas de firewall. Esta é uma nova floresta e será funcional no Server 2008R2, não há recursos legados. Também não há serviços de e-mail no ambiente.

Os requisitos estão listados abaixo em ordem de importância.

  1. Proteger a rede interna
  2. Fornecer logon único (testes mostram que isso funciona bem em ambos os casos)
  3. Ofereça flexibilidade máxima para diferentes modelos de segurança. (Usuários finais fazem coisas malucas)
  4. Minimize a complexidade (eu sei que isso argumenta para floresta única e contradiz o item 3)

Eu estou inclinado para a floresta única, qualquer um para discutir a alternativa?

    
por Tom Seibert 22.11.2010 / 18:26

1 resposta

1

De uma perspectiva de segurança, o método de floresta única, obviamente, apresenta algumas preocupações. Você precisará pesar aqueles quando estiver tomando sua decisão.

Para mim, o problema mais óbvio seria que, em uma única implantação de floresta, é provável que o CD colocado na DMZ seja necessário para abrigar o Catálogo Global (GC) para atender efetivamente aos aplicativos e usuários que você está procurando alcançar. Nesse caso, você agora colocou uma cópia de cada objeto AD em toda a floresta nesse servidor. Eu tomaria cuidado com isso.

    
por 22.11.2010 / 18:52

Tags

Executa um script PHP como um processo em segundo plano em um servidor WAMP Tunnelblick não pode carregar o arquivo de chave privada