windows - ¿Cuál es la forma más segura de conectarse a Active Directory desde una DMZ?

active-directory ldap (1)

Obtuve un servidor web DMZ, que aloja una aplicación ASP.NET "Extranet". Quiero que los usuarios se autentiquen en esta aplicación usando el mismo usuario y la misma contraseña que usan en su Windows en el trabajo. (estamos usando Active Directory)

Quiero saber cuál es la mejor manera, la más segura, para conectarme desde el servidor web DMZ al Active Directory.

Por ahora, vi dos posibilidades:
- RODC
- LDAP sobre SSL (LDAPS)

¿Hay alguna otra opción que recomiendas? ¿Qué otras opciones debería considerar? ¿Alguna limitación o posible problema con alguna de esas soluciones?

Existe un documento de Microsoft que habla de eso:

Servicios de dominio de Active Directory en la red perimetral (Windows Server 2008)

También puede inspirarse en la consideración de Microsoft sobre la instalación de una computadora frontal de Exchange en una DMZ

Guía de topología de servidor front-end y back-end para Exchange Server 2003 y Exchange 2000 Server