我有一个Web DMZ服务器，该服务器承载一个“Extranet” ASP.NET应用程序。我希望用户使用在工作中的Windows上使用的相同用户名和密码对此应用程序进行身份验证。 (我们正在使用Active Directory)

我想知道从DMZ Web服务器连接到Active Directory的最佳方法是(最安全的方法)。

现在，我看到了两种可能性:
-RODC
-SSL上的LDAP(LDAPS)

您还有其他建议吗？我还应该考虑其他哪些选择？这些解决方案有任何局限性或潜在问题吗？

已有一个Microsoft文档在谈论这一点:

Active Directory Domain Services in the Perimeter Network (Windows Server 2008)

您还可以从Microsoft的考虑中获得启发，将Exchange前端计算机安装到DMZ中。

Front-End and Back-End Server Topology Guide for Exchange Server 2003 and Exchange 2000 Server