Если Вы захотите использовать делегацию Kerberos для создания безопасной инфраструктуры (и ВЫ ДЕЛАЕТЕ), то необходимо будет соединить те веб-серверы с доменом. Веб-серверу (или сервисная учетная запись) будет нужна способность делегировать присвоенный ему для разрешения пользовательского олицетворения против SQL-сервера.
Вы проуспешно хотите избегать использования основанной на SQL аутентификации на SQL-сервере, если у Вас есть какой-либо аудит или обязательные требования для отслеживания доступа к данным (HIPAA, SOX, и т.д.) Необходимо отслеживать доступ посредством процесса настройки (т.е. кто находится в том, какими группами, как это было утверждено, и кого) и весь доступ к данным должен быть через присвоенную учетную запись пользователя.
Для проблем демилитаризованной зоны, связанных с доступом к AD, можно разрешить часть этого с Сервером использование 2008 года DC Только для чтения (RODC), но существует все еще риск с развертыванием в демилитаризованную зону. Существуют также некоторые способы вынудить DC использовать определенные порты для перфорации через брандмауэр, но этот тип cutomization может мешать к troublehsoot проблемам аутентификации.
Если у Вас есть определенные потребности позволить и Интернет и пользовательский доступ Интранет к тому же приложению, Вы, возможно, должны были бы изучить использование одного из продуктов Federeated Services, или предложение Microsoft или что-то как Федеративный Ping.
Внутреннее пользование, абсолютно. Тем путем ими управляет GPO, исправление не является столь же трудным, и контроль может быть выполнен без набора обходных решений.
В демилитаризованной зоне обычно я советовал бы не, они не должны быть на демилитаризованной зоне. Если они находятся на домене и в демилитаризованной зоне, проблема, с которой Вы сталкиваетесь, - то, что веб-сервер должен иметь определенную возможность соединения назад по крайней мере к одному DC. Поэтому, если внешний взломщик ставит под угрозу веб-сервер, он может теперь непосредственно предпринять ряд наступлений против одного из DCS. Владейте DC, владейте доменом. Владейте доменом, владейте лесом.
Почему бы не Домен веб-сервера в демилитаризованной зоне?
Это мог быть отдельный лес с одним путем доверительные отношения для администрирования домена от основного домена, не давая разрешения домену WS для основного домена.
Все радости AD/WSUS/GPO - особенно полезный, если у Вас есть целая ферма их - и если он пошел на компромисс, это не Ваша основная сеть.
Если бы веб-сервер находится в той же сети как Контроллер (контроллеры) домена, то я определенно добавил бы его к домену - как это, очевидно, добавляет много управляемости. Однако я обычно стремился бы поместить веб-серверы в демилитаризованную зону для увеличения безопасности - который делает доступ к домену невозможным без крошечных отверстий (и это - очень плохая идея!)
Как другие упомянули, если они общедоступны и не требуют проходящих проверку подлинности пользователей против каталога, то не помещайте их в домен.
Однако, если Вы требуете своего рода аутентификации или поиска информации от AD, возможно изучаете рабочий Режим приложения Active Directory (ADAM) в демилитаризованной зоне. Вы, возможно, должны копировать relavent информацию от AD в Раздел Applicaton, поскольку ADAM не синхронизирует стандартные AD разделы.
Если Вы просто ищете функции управления, хотя, ADAM не применяется.