Aunque no es literalmente cierto, como cuestión práctica, un frente de internet web front-end en una DMZ debe estar en un dominio (i.e. no un servidor independiente en su propio grupo de trabajo pequeño). No es necesario estar en el mismo dominio que el ETF interna(s) y otros servidores (y probablemente no debería), pero debe ser un dominio.
Mis colegas y yo pasamos una cantidad excesiva de tiempo en una propuesta que incluía requisitos previos de SharePoint. Esto incluye una amplia lista de configuraciones de firewall que permita el servidor DMZ a la granja, etc.. Lamentablemente, hemos podido agregar en algún lugar una frase que dice, para el efecto, "el punto todo sangriento de esta configuración es permitir que el servidor de la DMZ WFE, en un dominio, para unirse a la granja interna."
Una tormenta perfecta de eventos, donde básicamente consideramos izquierdas cuando nos podríamos parecía correctos, conspiraron para ocultar este problema de nosotros hasta bastante tarde en el proceso, lo cual me impide invocar mi "digo malas noticias pronto" regla.
Suspiro.