RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

2016

Active Directory Domain Services (AD DS) en una DMZ?

Avatar photo

ByRoberto Di Lello

Nov 30, 2016 ,

A menudo tenemos clientes que implementan aplicaciones Web Active Directory en una DMZ que aloja servidores web orientados al público. Estas aplicaciones suelen tener acceso a un Active Directory interno detrás del firewall y autentican a los usuarios del dominio de Active Directory interno.

Esto puede presentar un mayor riesgo de seguridad sobre los servidores web internos y tenemos algunas pautas para elegir el modelo mejor y más seguro de implementación para este escenario. Al implementar Active Directory en una DMZ, es importante utilizar las mejores prácticas.

Hemos completado algunas investigaciones para determinar estas prácticas recomendadas para configurar aplicaciones web en la DMZ que utilizan la autenticación integrada de Windows en IIS y acceder a Active Directory internamente detrás del firewall. Algunas preguntas simples podrían ser:

  • Hay cuatro modelos de implementación: Sin AD (servidor de grupo de trabajo independiente con solo cuentas locales); Isolated forest model (Modelo de bosque aislado); Extended corporate forest model (Modelo de bosque corporativo extendido) y Forest trust model (Modelo de confianza del forest).
  • No puede ejecutar la mayoría de las aplicaciones habilitadas para AD en servidores de grupo de trabajo independientes de Windows en la DMZ.
  • Dispone de varios modelos de arquitectura para permitir el acceso seguro desde una DMZ.
  • El modelo de bosque aislado y el modelo de bosque corporativo extendido que utiliza controladores de dominio de sólo lectura (RODC, Read Only Domain Controllers) proporcionan los riesgos de seguridad más bajos.
  • Todos los modelos se pueden endurecer para proporcionar una seguridad excelente.

Les recomiendo ver la nota de TechNet Active Directory Domain Services in the Perimeter Network (Windows Server 2008) que nos proporciona toda la información necesaria para implementar con seguridad las aplicaciones web habilitadas para AD en la DMZ. Igualmente no deja de ser una discusión interesante que van a tener que tener con Seguridad Informática (cuenten su experiencia y la publicare).

Espero les sea de interés. Saludos. Roberto Di Lello

Post Relacionados:

  1. Remote Server Administration Tools for Windows 10 para administrar nuestro Active Directory {Tools}
  2. ADFS 3.0, reemplazando nuestros certificados en Windows Server 2012 R2 {HowTo}
  3. Active Directory Error “Administrative limit for this request was exceeded" como solucionarlo?
  4. Azure AD Premium Dashboard
  5. Windows Server 2016 AD DS {Active Directory Domain Services} –Parte1-
Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

2012 & R2 2016 2019 Directory Services

Como verificar los requisitos de complejidad de las contraseñas en Active Directory [Howto]

Feb 15, 2024 Roberto Di Lello
2008 & R2 2012 & R2 2016

Windows Server: No existe carpetas SYSVOL y Netlogon en nuestro Controlador de Dominio [segunda opcion]

Oct 10, 2023 Roberto Di Lello
2008 & R2 2012 & R2 2016 2019 Windows 10 Windows 11 Windows 7

Entendiendo el protocolo NTLM: Evaluacion de su entorno para la reduccion de NTLM [Parte4]

Oct 3, 2023 Roberto Di Lello

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

You missed

Windows 11

Windows 11 Insider Preview Build 27934 (Canary Channel)

Ago 29, 2025 Roberto Di Lello
Windows 11

Windows 11 Insider Preview Build 27928 (Canary Channel)

Ago 22, 2025 Roberto Di Lello
Windows 11

Windows 11: problemas con la actualizacion KB5063878 y los discos SSD {URGENTE}

Ago 19, 2025 Roberto Di Lello
Uncategorized

Windows 11 Insider Preview Build 27924 (Canary Channel)

Ago 15, 2025 Roberto Di Lello