Конфигурация сети для Аксапты с Порталом

[Narayana]

В хелпе по администрированию портала довольно хорошо рассматривается вопрос об обустройстве демилитаризованной зоны для размещения веб-сервера портала. Но, там описывается настройка файрволов и настройка зон контроллеров доменов внутренней и внешней сети.

А вот физическая организация сети не рассматривается.
Возможно, для админов, которые постоянно занимаются сетями, это не проблема, а вот мне кое-что здесь непонятно.
А именно...
Вот, допустим, есть у нас внутренняя локальная сеть, где живет БД и АОС. А также контроллер домена и внутренние пользователи организации.
Допустим, физически компьютеры этой сети соединены с помощью эзернет-коммутатора с диапазоном адресов 192.168.1.*

Далее, допустим, мы организовываем еще один домен в локальной сети для внешних пользователей Аксапты. То есть, пользователей портала.
Тем самым, мы внешних пользователей не пускаем во внутренний домен Аксапты и они имеют доступ только к веб-серверу, на котором живет портал.
Допустим, что компьютеры этой сети также соединены в локальную сеть на другом коммутаторе с диапазоном адресов 192.168.2.*

В соответствии с рекомендациями контроллеры этих двух доменов должны состоять в отношениях одностороннего делегирования доверия. То есть, внешний домен, где живет веб-сервер, доверяет внутреннему домену с Аксаптой, а внутренний домен внешнему не доверяет.

Также, веб-сервер демилитаризованной сети должен иметь соединение с сервером внутренней сети Аксапты.

Вот здесь и возникает первый вопрос.
А как должны быть соединены компьютеры в разных локальных сетях?
Вариантов несколько.
1. Контроллер домена и веб-сервер демилитаризованной зоны имею еще по одной сетевой плате, которые подсоединены в коммутатор сети с Аксаптой.
2. Контроллеры разных доменов имеют по дополнительной сетевой плате и соединены друг с другом напрямую в новом диапазоне адресов, например, 192.168.3.1 и 192.168.3.2, а веб-сервер внешней зоны и АОС внутренней также имеют по дополнительной сетевой плате и соединены напрямую как, например, 192.168.3.3 и 192.168.3.4

А как правильно?

Вопрос второй.

Он касается доменных имен для первого и второго домена.
Виндовс позволяет создавать новые уникальные доменные имена axapta.abc1 и axapta.abc2, не присутствующие в глобальном диапазоне имен. И в то же время использовать зарегистрированное доменное имя. Допустим, в моем случае tranx.ru

Наверное, для внутреннего домена с Аксаптой правильно использовать уникальное неглобальное доменное имя типа axapta.abc1, потому как нет необходимости разрешать внешние имена.
А вот как быть с доменом демилитаризованной зоны, где живет веб-сервер?
Что лучше? использовать глобальное доменное имя и на DNS контроллера домена разрешать как внутренние локальные, так и внешние глобальные имена? Или для домена использовать внутреннее неглобальное имя, чтобы DNS контроллера домена разрешал в сети только локальные внутренние имена и поднять дополнительно в сети еще один одиноко стоящий DNS-сервер, для разрешения внешних имен, которые будут использоваться для доступа к порталу из интернета?

???