Microsoft Active Directory ドメインについて: 名前に 2 つ (またはそれ以上) のドットが含まれるドメインを持つことは合法ですか? つまり、「foo.bar.baz」は合法的な AD ドメイン名ですか? 「dmz.foo.bar.baz」は合法的な AD ドメイン名ですか?
複数のドットを含む AD ドメイン名が合法である場合: 名前に複数のドットが含まれる AD に関して何か問題はありますか? つまり、「example.com」ドメインと「dmz.example.com」ドメインの両方を持つことに関連する潜在的な問題はありますか (この 2 つは信頼の観点から完全に分離されている必要があります)。
説明: 2 つのドメインにはドメイン間の関係はありません (ファイアウォールによって完全に分離されています)。各ドメインには独自の DC セットがあります。
答え1
はい、そうです。
いいえ、ありません。
答え2
好きなだけドットを入れることができます。
会社.
ローカル エリア1.会社
.ローカル エリア2.会社.ローカル
あなたが提案していることは、理論的には機能しますが、あなたがしようとしていることを実行する最善の方法ではない可能性があります (つまり、DMZ をメイン ネットワークから完全に分離することを想定しています)。DMZ ゾーンには、独自のドメイン コントローラーのセットアップも必要になります。
同じフォレスト内にある場合、誰かが DMZ 管理者を取得すれば、フォレスト管理者を制御できるようになり、フォレストの残りの部分にアクセスできるようになります。
答え3
dmz.example.com が example.com の厳密なサブドメインでなかったら、問題が起きると思います。たとえそれが分離ドメインとして完璧に機能したとしても (AD が DNS 名前空間に依存していることを考えると疑問ですが)、他の社内管理者や請負業者の技術スタッフを混乱させるだけです。元に戻すのが非常に難しいので、間違いなくあなたを解雇します。