Bonjour,
 
dans le cas d'une appli ou d'un serveur situé en DMZ qui a besoin d'accéder à l'AD du LAN (notamment pour authentification), mis à part agir au niveau du filtrage entre DMZ->LAN, existe t'il d'autres mécanismes ?
 
Merci.

Utiliser ADFS si l'appli peut le prendre en charge.
 
Sinon faire une forêt en DMZ avec un trust (one way) à l'interne

AD LDS ?

J'aurai simplement mis un serveur ADDS en RODC dans la DMZ . C  beaucoup plus flexible qu'un ADLDS .
Tu trouveras des infos ici ..  
http://technet.microsoft.com/en-us [...] S.10).aspx

Ca se met pas en DMZ un RODC

 
C très bien adapté pour une DMZ , avec une bonne configuration des firewalls, celà reste trés bien sécurisé . Et c tout à fait le but recherché pour l'auteur.
Pour plus d"infos ....  
http://social.technet.microsoft.co [...] a-dmz.aspx

C'est pas vraiment conçu pour ça à l'origine contrairement à AD LDS.

Les 3 solutions exposées se discutent ....
Le document ci dessous résume bien les 3 possibilités en tout cas , si l'auteur s'y intéresse il trouvera la meilleure solution selon  
son architecture , ses besoins .  
   
 
http://technet.microsoft.com/en-us [...] S.10).aspx
 
 
 

Ton article parle que d'ADDS, pas d'ADLDS, ni d'ADFS.
Perso pour de l'ADDS je préfère de loin une forêt de DMZ avec un trust unidirectionnel si possible

Pour ADLDS = NO ADDS dans le tableau ....

Si tu lis bien la section
Forest trust model figure 4, c ta solution exposé ci dessus.
his model helps reduce the exposure of corporate information in the perimeter network because directory information that is stored in one forest does not physically reside in the other forest. In addition, forest trusts can be unidirectional so that the perimeter network forest trusts the internal forest but not the other way around.

A drawback of this model is the increased administration costs of maintaining an extra forest and the added complexity of managing firewall rules for domain controllers and client computers crossing trust boundaries.

As a variation of this model, you can also use Active Directory Federation Services (ADFS) to create a federation with the perimeter forest. For more information, see the ADFS Deployment Guide

Ta solution est bonne mais complique énormément la gestion ...

Pour les couts d'exploit de la nouvelle forêt je suis d'accord, même si pour moi les coups de gestion d'une infra RODC en DMZ est equivalent ou légèrement inférieure. Par contre pour la complexité des ordis/serveurs cross boundaries je suis contre vu que l'intéret d'avoir une foret A dans le LAN et B en DMZ est de ne pas avoir des machines de la forêt A en DMZ et B dans le LAN.