Лес или домен для демилитаризованной зоны
Запись журналов IIS к другой машине / nas является прекрасной идеей.
Если Вы пишете в значение по умолчанию %windir%\system32\logfiles можно исчерпать диск ОС..., т.е. IIS прекращает работать. Вы не должны волноваться об этом с внешним диском.
Механизм нейтрализации, если Ваш журнал соединяет его каналом недоступный (говорят, что Ваш NAS ушел) должен продолжить писать в значение по умолчанию %windir%\system32\logfiles
Для нескольких iis машин удостоверьтесь, что установили их для входа к отдельной папке как:
\\nas\iislogs\<machinename>
С точки зрения безопасности единственный лесной метод, очевидно, представляет некоторые проблемы. Необходимо будет взвесить их, когда Вы примете свое решение.
Для меня самая очевидная проблема была бы то, что в единственном лесном развертывании, вероятно, что DC, который Вы помещаете в демилитаризованную зону, будет необходимым для корпуса Глобального каталога (GC) для эффективного обслуживания приложений и пользователей, которых Вы надеетесь достигать. В этом случае Вы теперь поместили копию каждого AD объекта во всем лесу на тот сервер. Я был бы осторожен с этим.