Industrial DMZ und Domänenmitglieder in der IDMZ

Hallo zusammen,

ich bin neu hier im Forum, ich komme aus dem Prozessautomatisierungsbereich und habe mir im Bereich Netzwerktechnik und Windows Domaincontroller vieles nebenbei angeeignet, von daher bitte ich vorab um Entschuldigung, wenn ich nicht alles Fachgerecht ausdrücke.

In einem Produktionsnetzwerk soll ein Active Directory mit Domaincontrollern installiert werden, beide Domaincontroller werden sich in diesem Produktionsnetz befinden.

In der IDMZ werden folgende Server sein:

• Jumpserver
• WSUS
• PRTGSensor

In die IDMZ gibt es 2 Wege von außerhalb:

• Vom Firmennetzwerk über einen Jumpserver über eine FortiGate auf den Jumpserver und den PRTGSensor.
• Über eine Genubox über eine FortiGate auf den Jumpserver und WSUS, ein Dienstleister spielt die getesteten Windows Updates auf den WSUS.

Es gibt kein Internet in der IDMZ.

Die Server in der IDMZ würde ich gerne mit an die Domäne anbinden, auf ein eigenes Active Directory mit Domaincontrollern in der IDMZ sowie einen RODC würde ich gerne verzichten.

Meine Argumente sind:

• Zugang vom Firmennetzwerk per RDP aus nur über Firmenclient über Firmen-Jumpserver auf den Jumpserver in die IDMZ

also Port 3389.

• Zugang vom Diensleister nur über Genubox, nach manueller Freigabe.
• PRTGSensor -> PRTGServer ist auch nur 1 Port, kein RDP Zugriff von den externen Netzwerken.
• Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt.
• Kein Zugang zum Internet von der IDMZ aus.
• Ggf. Windows Defender Application Control.

Die Angriffsfläche ist sehr gering, wie sehen die Experten mein Vorhaben ?

Vielen Dank im Voraus.

Grüße
Chris