Active Directory в демилитаризованной зоне
Я вполне уверен, что 9.04 будет иметь PERC 5/i совместимым megaraid_sas драйвером. Это не особенно новый чипсет к настоящему времени.
Команда Active Directory в Microsoft выпустила руководство с лучшими практиками для рабочего AD в демилитаризованной зоне.
Сервисы домена Active Directory в сети периметра (Windows Server 2008)
Руководство касается следующих моделей AD для сети периметра:
- Никакой Active Directory (локальные учетные записи)
- Изолированная лесная модель
- Расширенная корпоративная лесная модель
- Лесная модель доверия
Это руководство содержит направление для определения, подходит ли Active Directory Domain Services (AD DS) для Вашей сети периметра (также известный как DMZs или экстранет), различные модели для развертывания AD DS в сетях периметра и информации о планировании и развертывании для Контроллеров домена Только для чтения (RODCs) в сети периметра. Поскольку RODCs обеспечивают новые возможности сетей периметра, большая часть содержания в этом руководстве описывает, как запланировать и развернуть эту новую функцию Windows Server 2008. Однако другие модели Active Directory, представленные в этом руководстве, являются также эффективными решениями для Вашей сети периметра.
Можно создать отдельный AD для демилитаризованной зоны и действительно заблокировать вниз контроллеры домена в демилитаризованной зоне. Тем путем у Вас есть два места для поддержания учетных записей, и можно взять его шаг вперед путем установления доверия так, чтобы можно было войти демилитаризованную зону AD с внутренними AD учетными записями.
Это зависело бы от того, как Вы намереваетесь управлять пользователями.
Если бы пользователи уже существуют внутренне, мой подход должен был бы использовать существующую AD структуру.
Если это - просто вопрос наличия 10 ящиков IIS, что вся потребность тот же доступ учетной записи пользователя, то встаньте отдельная AD структура в демилитаризованной зоне.
Если учетные записи пользователей только должны существовать на каждом поле. Затем локальные учетные записи будут лучшим подходом.
Как со всем, воздействие является компромиссом для безопасности. Но правильно настроенный брандмауэр не подвергнет Ваш AD значительным опасностям, только joinging Ваши ящики IIS к домену.