Über Microsoft Active Directory-Domänen: Ist es zulässig, eine Domäne zu haben, deren Name zwei (oder mehr) Punkte enthält? Ist beispielsweise „foo.bar.baz“ ein zulässiger AD-Domänenname? Ist „dmz.foo.bar.baz“ ein zulässiger AD-Domänenname?
Wenn ein AD-Domänenname mit mehr als einem Punkt zulässig ist: Gibt es Probleme in Bezug auf ADs mit Namen, die mehr als einen Punkt haben? Gibt es etwa potenzielle Probleme, wenn sowohl eine „example.com“- als auch eine „dmz.example.com“-Domäne vorhanden ist (die beiden müssen vertrauensmäßig vollständig getrennt sein).
Klarstellung: Die beiden Domänen haben keine Interdomänenbeziehung (eine Firewall trennt sie vollständig); jede Domäne hätte ihren eigenen DCS-Satz.
Antwort1
Ja, sie sind.
Nein, gibt es nicht.
Antwort2
Sie können so viele Punkte haben, wie Sie möchten, d. h.
Firma.Ort
Bereich1.Firma.Ort
Bereich2.Firma.Ort
Was Sie vorschlagen, würde theoretisch funktionieren, ist aber möglicherweise nicht die beste Methode, um das zu erreichen, was Sie versuchen (ich gehe davon aus, dass Sie Ihre DMZ vollständig von Ihrem Hauptnetzwerk trennen möchten). Für die DMZ-Zone müsste außerdem ein eigener Domänencontroller eingerichtet werden.
Wenn sie sich im selben Forest befinden und jemand den DMZ-Administrator übernimmt, könnte er anschließend den Forest-Administrator kontrollieren und hätte damit trotzdem Zugriff auf den Rest des Forests.
Antwort3
Ich denke, wenn dmz.example.com keine strikte Subdomäne von example.com wäre, dann haben Sie ein Problem. Selbst wenn es als disjunkte Domäne perfekt funktionieren würde (was ich angesichts der Abhängigkeit von AD vom DNS-Namespace bezweifle), würde es andere interne Administratoren und das technische Personal von Vertragspartnern nur verwirren. Ich würde Sie auf jeden Fall dafür feuern, denn es wäre sehr schwer rückgängig zu machen.