windows-server-2008 – 运行域控制器的风险是什么,以便可以从互

我在不同的webhost上有三个远程专用Web服务器.将它们添加到公共域将使许多管理任务更容易.由于其中两台服务器运行的是 Windows 2008 R2 Standard,因此我考虑将它们提升为域控制器以设置Windows域.有 another thread at Serverfault推荐这个.

与此同时,我在不同的网站上阅读了很多次,这不是一个好主意,因为域控制器应始终位于防火墙局域网后面.但我不能设置这样的东西,因为我没有可以通过互联网访问静态IP的局域网.事实上,我的局域网中甚至没有Windows服务器.

我没有发现的是为什么将DC暴露在互联网上会是个坏主意.

我能看到的唯一风险是,如果有人穿透我的一个网络服务器,那么也应该更容易穿透其他网络服务器.但据我所知,这是最糟糕的情况,因为我只将我的网络服务器转到该域,而不是我本地网络中的任何计算机.

这是唯一的缺点还是它首先让我更容易穿透我的一个网络服务器？

编辑：如果我将防火墙规则添加到DC,以便只有来自其他两个Web服务器的AD服务器的传入连接才会被接受？我的意思是类似于http://support.microsoft.com/kb/555381/en-us所描述的设置,但有其他基于IP的规则,以确保DC只能在相关端口上的域中的其他Web服务器上访问.