关于Microsoft Active Directory域:具有包含两个(或多个)点的名称的域是合法的吗? 即,是“foo.bar.baz”合法的AD域名? “dmz.foo.bar.baz”是合法的AD域名吗?
如果具有多个点的AD域名是合法的:对于名称多于一个点的广告,是否存在任何问题? 也就是说,是否存在与“example.com”和“dmz.example.com”域(两者完全分离,信任方面)相关的潜在问题。
澄清:这两个域之间没有域间关系(防火墙将它们完全分开); 每个域都有它自己的一组DC。
对,他们是。
没有没有。
你可以有尽可能多的点,你想要的
company.local
area1.company.local
area2.company.local
从理论上讲,你的build议可能会起作用,但可能不是做你正在尝试的最好的方法(也就是说,我假定把DMZ从你的主networking中分离出来)。 dmz区域也需要它自己的域控制器设置。
如果他们在同一个森林里,如果有人拿了DMZpipe理员,他们就可以控制森林pipe理员,这样他们就可以进入森林的其他地方。
我想如果dmz.example.com不是example.com的严格子域名,那么您正在寻找问题。 即使它作为一个不相交的域名(我怀疑AD依赖于DNS名称空间)完美地工作,它只会混淆其他内部pipe理员一个承包商的技术人员。 我一定会解雇你的,因为这很难解决。