Sim, eles são.
Não, não há.
Sobre os domínios do Microsoft Active Directory: é legal ter um domínio com um nome que contenha dois (ou mais) pontos? Ou seja, "foo.bar.baz" é um nome de domínio AD legal? É "dmz.foo.bar.baz" um nome de domínio AD legal?
Se um nome de domínio do AD com mais de um ponto for legal: Existe algum problema em relação a ADs com nomes que tenham mais de um ponto? Ou seja, há problemas potenciais relacionados a ter um domínio "example.com" e "dmz.example.com" (os dois devem ser completamente separados em termos de confiança).
Esclarecimento: Os dois domínios não têm relação entre domínios (um firewall separa-os completamente); cada domínio teria seu próprio conjunto de CDs.
Você pode ter quantos pontos quiser, ou seja,
company.local
area1.company.local
area2.company.local
O que você está sugerindo, em teoria, funcionaria, mas pode não ser a melhor maneira de fazer o que você está tentando (ou seja, eu suponho separar sua DMZ completamente da sua rede principal). A zona dmz também exigiria sua própria configuração do Controlador de Domínio.
Se eles estivessem na mesma floresta, se alguém pegasse o administrador da DMZ, eles poderiam controlar o administrador da floresta, o que daria a eles acesso ao resto da floresta de qualquer maneira.
Acho que se dmz.example.com não fosse um subdomínio estrito de example.com, você está procurando por problemas. Mesmo que funcionasse perfeitamente como um domínio separado (o que duvido que seja a confiança do AD no namespace do DNS), isso só confundiria outros administradores internos com uma equipe técnica contratada. Eu definitivamente te demitiria por isso, porque seria muito difícil desfazer.
Tags active-directory