Não, você não precisa de um IPA-Server em execução em "example.com", mas precisa de um servidor DNS configurado corretamente para delegar corretamente os subdomínios "site1 / 2 / 3.exmaple.com" ao DNS autoritativo. (Eu sugiro que os servidores IPA lidem com o próprio DNS).
Para cada reino, basta adicionar os dois registros a seguir à sua zona "example.com" - e pronto. Eu sugiro que você aponte os Registros A diretamente para o seu servidor IPA "subdomínio" e faça com que eles manipulem sua própria zona DNS SubDomains.
ipa01.site1.example.com. A 10.20.30.40
site1.example.com NS ipa01.site1.example.com.
Eu também fiz isso - com dois domínios "test.example.com" e prod.example.com sem um "example.com" existente.
Mas esteja ciente de que o script ipa-install-server por padrão pode usar servidores ROOT-DNS públicos reais para resolver seu domínio, mesmo que o próprio sistema tenha outros resolvedores configurados, portanto você deve definir os encaminhadores no ipa-server-install linha de comando que sabe como lidar, por exemplo como.
ipa-server-install --hostname=ipa01.test.example.com \
--domain=test.example.com \
--ds-password=secret \
--admin-password=moresecret \
--setup-dns -r TEST.EXAMPLE.COM \
--forwarder=XX.XX.XX.XX \
--forward-policy=only
em que XX.XX.XX.XX é o IP do seu servidor DNS para "example.com"
Isso deve fazer o truque. Dê uma olhada em man ipa-server-install e procure por "encaminhar" para obter mais detalhes.