问多个域的Active身份验证WCF服务-如何？

EN

我正在为.NET 2.0 WinForm应用程序的用户开发一个WCF服务(不是外部可用的)，它将在两个域中针对Active Directory对用户进行身份验证。身份验证部分大部分都在工作，但我在修改Active时遇到了一些问题。以下是有关情况和需求的基本知识。

1. 应用程序的一些外部用户将登录到DMZ内不同域上的Citrix服务器。这一定是他们唯一一次必须进入他们的证书。因此，必须接受该域中的经过身份验证的用户，并根据用户ID加载应用程序权限。
2. 在DMZ域和我们的内部域之间建立了单向信任关系。
3. 大多数外部用户在其计算机上安装应用程序。我们使用.NET远程处理从应用程序连接到服务器。身份验证是通过对存储在domain.
4. Internal用户上的Server中的信息进行远程处理的用户ID/密码，而在我们的域中，将处于类似的情况。它们将启动该应用程序，不需要输入任何凭据，前提是它们已登录。
5. 所有用户--活动目录或非Active Directory --仍在我们的表中设置，这是我们存储权限管理信息的地方。用户表上有一个标志，指示用户是否为AD，字段指示用户的域和AD用户ID (如果与其原始ID不同)。如果用户是在Active中设置的，无论是在外部域中还是在内部域中，如果他们运行安装在当前不在域中的计算机上的应用程序(即在路上的膝上型计算机上)，则将根据Active Directory对其进行身份验证。在#2中处理身份验证的远程对象连接到WCF服务以获得同样的authentication.
6. The，适用于我们网站的用户(它使用相同的凭据)。如果他们被标记为Active Directory用户，他们将被针对它进行身份验证，而不是针对我们的正常系统。
7. 一些拥有正确权限的内部用户需要能够在Active Directory中设置用户、修改他们、解锁并启用/禁用他们--仅在外部域中。

我要问的主要问题是：

WCF服务应该位于哪个域:该服务应该在外部用户还是Internal?

• What用户下面运行，以便能够完成上述所有操作，即外部\ something，内部\something，其他什么？

从我的测试来看：

1. 作为外部\ service在外部上运行服务时，可以修改AD信息并针对外部域进行身份验证。对内部域的身份验证失败，因为“从server"
2. External返回了一个引用为内部\：我可以对两个域进行身份验证，但我不能将外部domain.
3. Internal上的用户修改为内部\：我可以对内部域only.
4. Internal进行外部\：不会运行(我假设因为单向信任relationship).

)