Niestety odziedziczyłem domenę Active Directory, której nazwa to nazwa DNS, której firma nie jest właścicielem - nazwiemy ją ABC.com. Chciałbym, żeby to było coś pod firmą.com (zgodnie z odpowiedzią MDMarra na temat nazewnictwa AD prawdopodobnie użyłbym ad.company.com, ponieważ nigdy nie chcesz używać nazwy DNS, której używasz do czegokolwiek innego), ale twarde wymaganie dla teraz w tym roku będzie można przenieść pocztę e-mail do Office 365 i korzystać z synchronizacji katalogów. W tym celu wygląda na to, że potrzebuję przynajmniej nazwy UPN do naszej domeny e-mail (company.com). Ok, proces dodawania drugiej nazwy UPN wydaje się dość prosty . Testowanie go i przenoszenie kont do momentu, aż wszystkie znajdą się na pożądanej nazwie UPN, wydaje się dość rozsądne.
Czy może to mieć jakiś minus? Czy ponury żniwiarz techniczny ostatecznie dotrze, jeśli pozostaniemy na tej „nie posiadanej” nazwie domeny ABC.com przez czas nieokreślony?
Dla porównania mamy jeden las, jedną domenę ze wszystkim (las, poziom funkcjonalny, wszystkie kontrolery domeny) na poziomie 2012R2 i Exchange 2010 w tej domenie. W AD jest około 150 użytkowników i 450 komputerów (dużo automatyzacji tworzenia / testowania). Chociaż bezpiecznie nawigowałem od 2003 do 2012R2, w żadnym wypadku nie nazwałbym siebie ekspertem w AD.
Wygląda na to, że nazwy domen nie są generalnie zalecane, a ponieważ mamy Exchange 2010 w naszej domenie, nie sądzę, aby byłaby to nawet opcja.
Moim zdaniem mogę:
- dodaj drugą nazwę UPN i gotowe. Mogę sobie poradzić z koniecznością ręcznego ustawiania nazwy UPN dla rzeczy podczas ich tworzenia / dodawania ...
- dodaj drugą domenę do lasu, przenieś wszystko i zawsze miej tę starszą domenę główną na zawsze, której nie mogę usunąć
- utwórz drugi las, las <-> zaufanie lasu, zrób wszystko tak, jak naprawdę chcę w tym nowym lesie od podstaw ... przenieś wszystko i ostatecznie usuń oryginalny las. Naprawdę powolny, bardzo ostrożny, testowany do przodu i do tyłu, i prawdopodobnie kosztem (przy minimum spędzonym czasie). W świecie snów wydaje się to najlepsze, ale nie jestem pewien, czy mogę to uzasadnić uzasadnieniem biznesowym (chyba że ktoś stwierdzi, że przybędzie ponury żniwiarz).
- ??? coś jeszcze o czym nie myślałem
źródło
Will the technical debt grim reaper eventually arrive if we stay on this 'non-owned' domain name of ABC.com indefinitely?- W końcu tak. Pamiętaj, że utworzenie dodatkowej nazwy UPN nie rozwiązuje problemu niepoprawności nazwy FQDN usługi AD. Nazwa UPN jest jedynie „alternatywną” nazwą użytkownika, za pomocą której użytkownicy mogą się zalogować. Nie ma to wpływu na faktyczną AD FQDN. Muszę sobie wyobrazić, że przejście na Office 365 będzie dla ciebie problematyczne, zwłaszcza że nie posiadasz nazwy, która jest używana wewnętrznie i że nazwa „należy” do innej organizacji.Odpowiedzi:
Kryzys egzystencjalny związany z brakiem posiadania domeny, z której korzystasz wewnętrznie poza - z perspektywy Office 365 jest to w porządku. Office 365 dba o weryfikację używanych domen e-mail, a nie domeny AD. Podejście, które podjąłeś, zmieniając nazwy UPN w celu dopasowania adresów e-mail użytkowników, jest właściwe i prawidłowe.
Teraz, wyłącznie z perspektywy AD, nigdy nie będziesz w stanie uzyskać certyfikatu strony trzeciej dla tej wewnętrznej domeny DNS, ponieważ nie jesteś jej właścicielem. Może to stanowić problem dla Ciebie. Nigdy nie będziesz w stanie zaufać innej domenie o tej samej nazwie, więc w mało prawdopodobnym przypadku, gdy połączysz się z firmą, która jest właścicielem tej domeny i używają tej nazwy, będziesz mieć koszmary migracyjne. Wyobrażam sobie, że prawdopodobieństwo tego jest bliskie zeru.
Jest dużo pracy i potencjalnie bardzo uciążliwy dla użytkowników końcowych, aby zmienić nazwę lub migracji z domeny. W tym momencie zazwyczaj uważam, że powinieneś po prostu opuścić źle nazwaną domenę, chyba że jeden z tych skrajnych przypadków powoduje ból serca i po prostu upewnij się, że uda ci się to przy następnym obejściu :)
źródło