Один домен, разные подсети
 

1)Могут ли быть компьютеры из разных подсетей в одном домене и как это отображается в ДНС?
Если через службу маршрутизации на Windows серверах сделали подсеть 192.168.*.* еще с серверами, а контроллер домена находится в 10.*.*.* или в белой сети?
2)Можно ли для безопасности поставить Exchange Server с windows 2008R2 далеко в интернете на арендованном белом ip-адресе, но чтобы он был членом домена, как member server(так Microsoft рекомендует)?

могут.
цифрами, как и всё в DNS.
не рекомендуется.
можно, хотя какая безопасность?
правильно сдлеать там отдельный сабнет вашего домена AD.

Могут. Однако нужно прописать маршруты к другим подсетям.
Например при раздаче адресов через DHCP нужно использовать параметр №254

В прямой зоне для преобразования "Имя DNS -> IP-адрес" это отображается обычным образом.
А для преобразования "IP-адрес -> Имя DNS" для каждой подсети создаётся своя обратная зона.

При наличии двусторонней маршрутизации никакой проблемы нет.
А при NAT-маршрутизации, когда маршрутизатор блокирует доступ к "внутренней" сети, администратор домена как минимум не сможет устранять проблемы на клиентских компьютерах.

А это ещё зачем?
Во-первых, это небезопасно для самого контроллера домена.
Во-вторых, многие протоколы локальных сетей не шифруются, а значит их использование на просторах интернета небезопасно.
В-третьих, сам домен окажется спрятанным за NAT (см. выше)
Если КД находится где-то далеко от одного из сегментов сети, то проще сделать шифрованный канал VPN между сетью филиала и сервером.


Как минимум, Outlook и прочие клиенты Exchange у вас будет работать очень медленно.
А безопасность здесь будет исключительно физическая - размещение сервера в датацентре защитит от пожаров и других ЧП в офисе фирмы.

Лучше для работы использовать локальный сервер, а в удалённом датацентре арендовать сервер для хранения ежедневных архивов и текущих реплик баз данных.

это что за такая новая опция? если вы говорите о маршрутах, то это 121 или 249 опция. зависит от целевых ОС.
её должен создать администратор DNS сервера, сама она не создаётся.
а бывает односторонняя маршрутизация?
не нужно путать новичков - "NAT-маршрутизации" не существует как понятия или термина. NAT это NAT.

Я так попробовал и действительно из домена не зайти, хотя сервер зарегистрировался в DNS домена сам при присоединении к домену (и в обратной зоне ptr создался).
Но такая схема для Exchange неработоспособна - невозможно будет и клиентским компьютерам забирать почту, хоть сервер по адресу будет спрятан.

В белой сети хочется разместить не контроллер домена, а сервер с Exchange, чтоб к нему был доступ и с домашних мобильников, а сам домен, спрятанный за NAT тоже будет получать с него почту и будет в безопасности.
Если ставить Exchange внутри NAT, то будет подвергаться опасности домен и из дома почту не принять.

Разве Exchange может обслуживать других клиентов, например, TheBat ? В матрице Майкрософт написано, что только Outlook и Windows phone. https://technet.microsoft.com/ru-ru/...xchg.150).aspx (раздел клиенты)

Это главное - безопасность от бандитов и полиции.

Имеется в виду маршрутизация равнозначных подсетей без использования NAT, при которой все устройства из подсети А могут получить доступ ко всем устройствам подсети Б и наоборот.
А также маршрутизация с использованием NAT, при которой устройства из "внутренней" подсети А могут получить доступ к устройствам из "внешней" подсети Б, используя "внешний" адрес самого маршрутизатора, а от "внешней" подсети Б к "внутренней" подсети А доступ блокируется по принципом работы NAT.
-----------------------------

К почтовому серверу Microsoft Exchange можно подключиться любой почтовой программой, использующей стандартные протоколы SMTP и IMAP/POP3. Разумеется, в этом случае клиенты будут иметь доступ только к электронной почте без "общих" адресных книг, календарей и остальных возможностей.
Однако администратор сервера может заблокировать использование этих почтовых протоколов, и тогда к серверу смогут подключиться только клиенты Microsoft, использующие закрытые алгоритмы через HTTPS.

Опасности для домена никакой нет, потому что для работы Exchange достаточно настроить на маршрутизаторе "проброс" только нужных портов к внутреннему адресу почтового сервера.



Вообще-то не вижу смысла изолировать один лишь почтовый сервер.
Гораздо лучше в таком случае разместить в датацентре и контроллер домена, и терминальный сервер, а в офисе оставить только кучу "тонких клиентов" и VPN-маршрутизатор, обеспечивающий устойчивую связь с серверами в датацентре по шифрованному каналу.