Acerca de los dominios de Microsoft Active Directory: ¿Es legal tener un dominio con un nombre que contenga dos (o más) puntos? Es decir, ¿es "foo.bar.baz" un nombre de dominio AD legal? ¿Es "dmz.foo.bar.baz" un nombre de dominio AD legal?
Si un nombre de dominio AD con más de un punto es legal: ¿Hay algún problema con respecto a los AD con nombres que tienen más de un punto? Es decir, ¿existen posibles problemas relacionados con tener un dominio "example.com" y "dmz.example.com" (los dos deben estar completamente separados en términos de confianza)?
Aclaración: Los dos dominios no tienen relación entre dominios (un firewall los separa completamente); cada dominio tendría su propio conjunto de DC.
Respuesta1
Sí lo son.
No, no lo hay.
Respuesta2
Puedes tener tantos puntos como quieras, es decir
empresa.local
área1.empresa.local
área2.empresa.local
Lo que estás sugiriendo, en teoría, funcionaría, pero puede que no sea la mejor manera de hacer lo que estás intentando (es decir, supongo que separarás completamente tu DMZ de tu red principal). La zona dmz también requeriría la configuración de su propio controlador de dominio.
Si están en el mismo bosque, si alguien tomara el administrador de la DMZ, podría controlar el administrador del bosque, lo que de todos modos les daría acceso al resto del bosque.
Respuesta3
Creo que si dmz.example.com no fuera un subdominio estricto de example.com, estarías buscando problemas. Incluso si funcionara perfectamente como un dominio separado (lo cual dudo dada la dependencia de AD en el espacio de nombres DNS), solo confundiría a otros administradores internos y al personal técnico del contratista. Definitivamente te despediría por ello, porque sería muy difícil deshacerlo.