關於 Microsoft Active Directory 網域: 名稱中包含兩個(或更多)點的網域是否合法?即「foo.bar.baz」是合法的AD網域嗎? 「dmz.foo.bar.baz」是合法的AD網域嗎?
如果多於一個點的AD域名是合法的:多於一個點的AD域名是否有問題?即,是否存在與同時擁有「example.com」和「dmz.example.com」網域相關的潛在問題(這兩個網域在信任方面是完全獨立的)。
澄清:這兩個域沒有域間關係(防火牆將它們完全分開);每個域都有自己的一組 DC。
答案1
是的,他們是。
不,沒有。
答案2
你可以有任意數量的點,即
公司.
本地區域1.公司
.本地區域2.公司.本地
從理論上講,您的建議是可行的,但可能不是執行您嘗試的操作的最佳方法(即我假設將您的 DMZ 與主網路完全分開)。 dmz 區域也需要設定自己的網域控制站。
如果他們在同一個森林中,如果有人奪走了 DMZ 管理員,他們可以控制森林管理員,這將使他們能夠訪問森林的其餘部分。
答案3
我認為如果 dmz.example.com 不是 example.com 的嚴格子網域,那麼您正在尋找問題。即使它作為一個不相交的網域完美地工作(考慮到 AD 對 DNS 命名空間的依賴,我對此表示懷疑),它只會讓其他內部管理員和承包商技術人員感到困惑。我肯定會因此解僱你,因為這很難挽回。