关于 Microsoft Active Directory 域:域名包含两个(或更多)点是否合法?例如,“foo.bar.baz”是合法的 AD 域名吗?“dmz.foo.bar.baz”是合法的 AD 域名吗?
如果 AD 域名包含多个点是合法的:名称包含多个点的 AD 是否存在问题?即,同时拥有“example.com”和“dmz.example.com”域名是否存在潜在问题(这两个域名在信任方面是完全独立的)。
澄清:这两个域没有域间关系(防火墙将它们完全分隔开);每个域都有自己的一组 DC。
答案1
是的,他们是。
没有。
答案2
你可以有任意数量的点,即
公司.
本地 地区1.公司
.本地 地区2.公司.本地
从理论上讲,您所建议的方法可行,但可能不是实现您所尝试的最佳方法(即,我假设将您的 DMZ 与主网络完全分开)。dmz 区域还需要设置自己的域控制器。
如果他们在同一片森林中,如果有人接管了 DMZ 管理员,他们就可以控制森林管理员,这将使他们能够访问森林的其余部分。
答案3
我认为,如果 dmz.example.com 不是 example.com 的严格子域,那么你就是在自找麻烦。即使它作为一个不相交的域完美地工作(鉴于 AD 对 DNS 命名空间的依赖,我对此表示怀疑),它只会让其他内部管理员和承包商技术人员感到困惑。我肯定会因此解雇你,因为撤销它非常困难。