Sapendo che si tratta di un controller di dominio, verrà utilizzato solo da persone all'interno della rete interna, giusto?
Potrebbe voler ricontrollare con questa domanda correlata .
Indipendentemente dal fatto che tu lo stia ospitando o meno nella DMZ, consiglio vivamente di effettuare una configurazione in cui è consentito solo il traffico che coinvolge la porta UDP 53 e che è sia in entrata che in uscita.
È possibile ottenere ciò attraverso la configurazione di NGFW, alcuni dispositivi dotati di firewall stateful o firewall basato su host all'interno del server DNS. Se si può avere 2-3 di questi risultati, va bene dato che l'approfondimento della difesa è una buona pratica. Verifica che funzioni correttamente per ogni difesa configurata per garantire la disponibilità del tuo dispositivo.
Se lo stai posizionando nella DMZ, tuttavia, è assolutamente importante avere un dispositivo firewall tra il tuo server DNS e il router per assicurarti che sia segmentato e tenuto lontano dalla tua rete interna nel caso in cui venga compromesso dall'hacker / s.
Ricorda sempre che nessuna difesa è assoluta, quindi prepara i piani / protocolli da seguire nel caso in cui un attacco hacker abbia successo e si intensifichi per impedire / re-mediare l'emergenza.