关于 Microsoft Active Directory 域:拥有一个名称包含两个(或更多)点的域是否合法?即,“foo.bar.baz”是合法的 AD 域名吗?“dmz.foo.bar.baz”是合法的AD域名吗?
如果一个多点的AD域名是合法的:域名多于一个点的AD有什么问题吗?即,是否存在与同时拥有“example.com”和“dmz.example.com”域相关的潜在问题(两者在信任方面是完全分开的)。
澄清:两个域没有域间关系(防火墙将它们完全分开);每个域都有自己的一组 DC。
AskOverflow.Dev
您可以拥有任意数量的点,即
company.local
area1.company.local
area2.company.local
从理论上讲,您的建议可行,但可能不是执行您正在尝试的最佳方法(即我假设将您的 DMZ 与您的主网络完全分开)。dmz 区域还需要设置自己的域控制器。
如果他们在同一个林中,如果有人拿走了 DMZ 管理员,他们就可以控制林管理员,这将使他们无论如何都可以访问林的其余部分。
我认为如果 dmz.example.com 不是 example.com 的严格子域,那么您正在寻找问题。即使它作为一个不相交的域完美地工作(我怀疑 AD 依赖 DNS 命名空间),它只会混淆其他内部管理员和承包商技术人员。我肯定会为此解雇你,因为这很难撤销。
对,他们是。
不,没有。