1)Могут ли быть компьютеры из разных подсетей в одном домене и как это отображается в ДНС?
Если через службу маршрутизации на Windows серверах сделали подсеть 192.168.*.* еще с серверами, а контроллер домена находится в 10.*.*.* или в белой сети?
2)Можно ли для безопасности поставить Exchange Server с windows 2008R2 далеко в интернете на арендованном белом ip-адресе, но чтобы он был членом домена, как member server(так Microsoft рекомендует)?

1)Могут ли быть компьютеры из разных подсетей в одном домене »
могут.
и как это отображается в ДНС? »
цифрами, как и всё в DNS.
или в белой сети? »
не рекомендуется.
)Можно ли для безопасности поставить Exchange Server с windows 2008R2 далеко в интернете »
можно, хотя какая безопасность?
на арендованном белом ip-адресе, но чтобы он был членом домена, как member server(так Microsoft рекомендует)? »
правильно сдлеать там отдельный сабнет вашего домена AD.

1)Могут ли быть компьютеры из разных подсетей в одном домене »
Могут. Однако нужно прописать маршруты к другим подсетям.
Например при раздаче адресов через DHCP нужно использовать параметр №254

как это отображается в ДНС? »
В прямой зоне для преобразования "Имя DNS -> IP-адрес" это отображается обычным образом.
А для преобразования "IP-адрес -> Имя DNS" для каждой подсети создаётся своя обратная зона.

а контроллер домена находится в 10.*.*.* »
При наличии двусторонней маршрутизации никакой проблемы нет.
А при NAT-маршрутизации, когда маршрутизатор блокирует доступ к "внутренней" сети, администратор домена как минимум не сможет устранять проблемы на клиентских компьютерах.

или в белой сети»
А это ещё зачем?
Во-первых, это небезопасно для самого контроллера домена.
Во-вторых, многие протоколы локальных сетей не шифруются, а значит их использование на просторах интернета небезопасно.
В-третьих, сам домен окажется спрятанным за NAT (см. выше)
Если КД находится где-то далеко от одного из сегментов сети, то проще сделать шифрованный канал VPN между сетью филиала и сервером.


2)Можно ли для безопасности поставить Exchange Server с windows 2008R2 далеко в интернете на арендованном белом ip-адресе, но чтобы он был членом домена, как member server(так Microsoft рекомендует)? »
Как минимум, Outlook и прочие клиенты Exchange у вас будет работать очень медленно.
А безопасность здесь будет исключительно физическая - размещение сервера в датацентре защитит от пожаров и других ЧП в офисе фирмы.

Лучше для работы использовать локальный сервер, а в удалённом датацентре арендовать сервер для хранения ежедневных архивов и текущих реплик баз данных.

Например при раздаче адресов через DHCP нужно использовать параметр №254 »
это что за такая новая опция? если вы говорите о маршрутах, то это 121 или 249 опция. зависит от целевых ОС.
А для преобразования "IP-адрес -> Имя DNS" для каждой подсети создаётся своя обратная зона. »
её должен создать администратор DNS сервера, сама она не создаётся.
При наличии двусторонней маршрутизации никакой проблемы нет. »
а бывает односторонняя маршрутизация?
А при NAT-маршрутизации, »
не нужно путать новичков - "NAT-маршрутизации" не существует как понятия или термина. NAT это NAT.

А при NAT-маршрутизации, когда маршрутизатор блокирует доступ к "внутренней" сети, администратор домена как минимум не сможет устранять проблемы на клиентских компьютерах. »

Я так попробовал и действительно из домена не зайти, хотя сервер зарегистрировался в DNS домена сам при присоединении к домену (и в обратной зоне ptr создался).
Но такая схема для Exchange неработоспособна - невозможно будет и клиентским компьютерам забирать почту, хоть сервер по адресу будет спрятан.

А это ещё зачем?
Во-первых, это небезопасно для самого контроллера домена.
Во-вторых, многие протоколы локальных сетей не шифруются, а значит их использование на просторах интернета небезопасно.
В-третьих, сам домен окажется спрятанным за NAT (см. выше) »

В белой сети хочется разместить не контроллер домена, а сервер с Exchange, чтоб к нему был доступ и с домашних мобильников, а сам домен, спрятанный за NAT тоже будет получать с него почту и будет в безопасности.
Если ставить Exchange внутри NAT, то будет подвергаться опасности домен и из дома почту не принять.

Как минимум, Outlook и прочие клиенты Exchange
Разве Exchange может обслуживать других клиентов, например, TheBat ? В матрице Майкрософт написано, что только Outlook и Windows phone. https://technet.microsoft.com/ru-ru/library/ff728623(v=exchg.150).aspx (раздел клиенты)

А безопасность здесь будет исключительно физическая - размещение сервера в датацентре защитит от пожаров и других ЧП в офисе фирмы. »
Это главное - безопасность от бандитов и полиции.

Цитата El Scorpio:
При наличии двусторонней маршрутизации никакой проблемы нет. »
а бывает односторонняя маршрутизация?

Цитата El Scorpio:
А при NAT-маршрутизации, »
не нужно путать новичков - "NAT-маршрутизации" не существует как понятия или термина. NAT это NAT. »
Имеется в виду маршрутизация равнозначных подсетей без использования NAT, при которой все устройства из подсети А могут получить доступ ко всем устройствам подсети Б и наоборот.
А также маршрутизация с использованием NAT, при которой устройства из "внутренней" подсети А могут получить доступ к устройствам из "внешней" подсети Б, используя "внешний" адрес самого маршрутизатора, а от "внешней" подсети Б к "внутренней" подсети А доступ блокируется по принципом работы NAT.
-----------------------------

Разве Exchange может обслуживать других клиентов, например, TheBat ? В матрице Майкрософт написано, что только Outlook и Windows phone. https://technet.microsoft.com/ru-ru/...xchg.150).aspx (раздел клиенты) »
К почтовому серверу Microsoft Exchange можно подключиться любой почтовой программой, использующей стандартные протоколы SMTP и IMAP/POP3. Разумеется, в этом случае клиенты будут иметь доступ только к электронной почте без "общих" адресных книг, календарей и остальных возможностей.
Однако администратор сервера может заблокировать использование этих почтовых протоколов, и тогда к серверу смогут подключиться только клиенты Microsoft, использующие закрытые алгоритмы через HTTPS.

Если ставить Exchange внутри NAT, то будет подвергаться опасности домен и из дома почту не принять. »
Опасности для домена никакой нет, потому что для работы Exchange достаточно настроить на маршрутизаторе "проброс" только нужных портов к внутреннему адресу почтового сервера.


Цитата El Scorpio:
А безопасность здесь будет исключительно физическая - размещение сервера в датацентре защитит от пожаров и других ЧП в офисе фирмы. »
Это главное - безопасность от бандитов и полиции. »
Не беспокойтесь, даже если вы разместите сервера в каком-нибудь гондурасе, нужные люди всё равно легко узнают пароль путём терморектального криптоанализа :)

Вообще-то не вижу смысла изолировать один лишь почтовый сервер.
Гораздо лучше в таком случае разместить в датацентре и контроллер домена, и терминальный сервер, а в офисе оставить только кучу "тонких клиентов" и VPN-маршрутизатор, обеспечивающий устойчивую связь с серверами в датацентре по шифрованному каналу.

Имеется в виду маршрутизация равнозначных подсетей без использования NAT, при которой все устройства из подсети А могут получить доступ ко всем устройствам подсети Б и наоборот.
А также маршрутизация с использованием NAT, при которой устройства из "внутренней" подсети А могут получить доступ к устройствам из "внешней" подсети Б, используя "внешний" адрес самого маршрутизатора, а от "внешней" подсети Б к "внутренней" подсети А доступ блокируется по принципом работы NAT. »
мне очень хочется с вами поругаться, начиная со словосочетания "равнозначных сетей", но я не буду.
а вас попрошу не писать таких терминов (и "NAT-машрутизации" тоже), пока в rfc 1812 не появится слова NAT и "равнозначные сети".