Quel est le moyen le plus sécurisé pour se connecter à Active Directory à partir d'une DMZ?

J'ai eu un web serveur DMZ, qui héberge un "Extranet" ASP.NET application. Je veux que les utilisateurs doivent s'authentifier à cette application en utilisant le même nom d'utilisateur et mot de passe qu'ils utilisent sur leurs Fenêtres au travail. (nous sommes à l'aide d'Active Directory)

Je veux savoir quel est le meilleur moyen est le plus sûr moyen - pour se connecter à partir de la DMZ serveur web dans l'annuaire Active Directory.

Pour l'instant j'ai vu deux possibilités:
- CONTRÔLEUR de domaine en lecture
- LDAP Sur SSL (LDAPS)

Il y a aucune autre option que vous recommandez? Quelles sont les autres options devrais-je envisager? Toute limitation ou d'éventuels problèmes avec l'un de ces solution?

Je ne suis pas sûr si je suis à la compréhension de cette question. N'importe quel serveur LDAP auquel vous vous connectez doit prendre en charge SSL ou le StartTLS d'utilisation prolongée. Les clients LDAP doit pas utiliser LDAP où SSL ou TLS avec un cryptage fort n'est pas pris en charge.
Ok... Le truc, c'est que jusqu'à il y a deux semaines, nous avons pensé que la meilleure façon d'authentifier l'utilisateur était de se connecter à partir du serveur web directement sur le contrôleur de domaine. Mais mon réseau admin découvrir un potentiel défaut... Alors j'essaie de savoir quelle est la meilleure façon de le faire: LDAP sur SSL directement à partir du serveur web vers le contrôleur de domaine ou créer un CONTRÔLEUR de domaine en lecture...

OriginalL'auteur Bestter | 2012-03-29