kou11さん、こんにちは。
質問からだいぶ時間が経過していますが、たまたま質問をお見かけしたので回答します。
ご指摘の構成はセキュリティ上のリスクがあり、推奨されるものではないと思います。
理由は以下のとおりです。
1.ADはDMZに配置するべきではない
DMZは外部からのアクセスを受け付けるネットワークであり、
内部ネットワークに配置する場合に比べて不正アクセスのリスクが高いといえます。
そこにADという重要な情報を持つサーバーを配置するべきではないでしょう。
2.ADFS ProxyはADFSの役割をDMZに置かないために存在するから
ADFSはトークンと呼ばれる認証に成功した証となる情報を発行する大事なサーバーです。
もしDMZに配置し、ADFSサーバーが不正アクセスに遭うと、
不正にトークンが発行され、他のサーバーにも不正アクセスされる可能性があります。
そうした問題を回避し、外部からADFSサーバーに直接アクセスさせないようにするために、
外部からのトークン発行を要求する役割を代理で行うADFS Proxyというサーバーがあるのです。
ADFS Proxyはプロキシとして、あくまでもトークン発行の要求を代理で行うことだけに
専念させ、トークン発行そのものの処理は内部ネットワークに配置されたADFSサーバーで
おこなうという構成がよりセキュアな構成だと考えます。
