О доменах Microsoft Active Directory: законно ли иметь домен с именем, содержащим две (или более) точек? То есть, является ли "foo.bar.baz" законным доменным именем AD? Является ли "dmz.foo.bar.baz" законным доменным именем AD?
Если доменное имя AD с более чем одной точкой является законным: есть ли какие-либо проблемы с AD с именами, которые имеют более одной точки? То есть, есть ли потенциальные проблемы, связанные с наличием как домена "example.com", так и "dmz.example.com" (они должны быть полностью разделены с точки зрения доверия).
Пояснение: эти два домена не имеют междоменной связи (их полностью разделяет межсетевой экран); каждый домен будет иметь свой собственный набор контроллеров домена.
решение1
Да, они.
Нет, не существует.
решение2
Вы можете иметь столько точек, сколько захотите, например:
компания.местная
область1.компания.местная
область2.компания.местная
То, что вы предлагаете, в теории должно работать, но может быть не лучшим способом сделать то, что вы пытаетесь сделать (т. е. я предполагаю, что вы полностью отделите свою DMZ от основной сети). Зона dmz также потребует настройки собственного контроллера домена.
Если они находятся в одном лесу, то, если кто-то завладеет администратором DMZ, он сможет контролировать администратора леса, что в любом случае даст ему доступ к остальной части леса.
решение3
Я думаю, если бы dmz.example.com не был строгим поддоменом example.com, вы ищете проблемы. Даже если бы он работал идеально как несвязанный домен (в чем я сомневаюсь, учитывая зависимость AD от пространства имен DNS), это только запутало бы других внутренних администраторов и технический персонал подрядчика. Я бы определенно уволил вас за это, потому что это было бы очень трудно отменить.