Quel est le moyen le plus sécurisé pour se connecter à Active Directory à partir d'une DMZ?
J'ai eu un web serveur DMZ, qui héberge un "Extranet" ASP.NET application. Je veux que les utilisateurs doivent s'authentifier à cette application en utilisant le même nom d'utilisateur et mot de passe qu'ils utilisent sur leurs Fenêtres au travail. (nous sommes à l'aide d'Active Directory)
Je veux savoir quel est le meilleur moyen est le plus sûr moyen - pour se connecter à partir de la DMZ serveur web dans l'annuaire Active Directory.
Pour l'instant j'ai vu deux possibilités:
- CONTRÔLEUR de domaine en lecture
- LDAP Sur SSL (LDAPS)
Il y a aucune autre option que vous recommandez? Quelles sont les autres options devrais-je envisager? Toute limitation ou d'éventuels problèmes avec l'un de ces solution?
Ok... Le truc, c'est que jusqu'à il y a deux semaines, nous avons pensé que la meilleure façon d'authentifier l'utilisateur était de se connecter à partir du serveur web directement sur le contrôleur de domaine. Mais mon réseau admin découvrir un potentiel défaut... Alors j'essaie de savoir quelle est la meilleure façon de le faire: LDAP sur SSL directement à partir du serveur web vers le contrôleur de domaine ou créer un CONTRÔLEUR de domaine en lecture...
OriginalL'auteur Bestter | 2012-03-29
Vous devez vous connecter pour publier un commentaire.
Il existe un document de Microsoft d'en parler :
Services de Domaine Active Directory dans le Réseau de Périmètre (Windows Server 2008)
Vous pouvez également prendre de l'inspiration à partir de Microsoft compte sur l'installation d'un Échange Avant la fin de l'ordinateur dans une DMZ
Le Front-End et Back-End Topologie de Serveur de Guide pour Exchange Server 2003 et Exchange 2000 Server
Mais, j'ai encore une question: si certains ports sont ouverts entre la DMZ et le réseau Intranet, afin de permettre au CONTRÔLEUR de domaine en lecture pour "parler" à la DC, comment pourrait-il en être plus sûr que d'une connexion directe entre le serveur web et le DC?
OriginalL'auteur JPBlanc