Alguma desvantagem em adicionar um UPN em vez de tentar corrigir nosso nome de domínio do AD?

Navegue suas respostas
9

Infelizmente, herdei um domínio do Active Directory cujo nome é um nome DNS que a empresa não possui - nós o chamamos de ABC.com. Eu gostaria que fosse algo sob company.com em vez disso (por resposta do MDMarra na nomenclatura do AD eu provavelmente usaria anúncio. company.com desde que você nunca quer usar um nome DNS que você usa para qualquer outra coisa), mas o requisito rígido para agora é ser capaz de mover email para o Office 365 este ano e usando a Sincronização de Diretórios. Para isso, parece que, no mínimo, eu preciso de um UPN correspondente ao nosso domínio de email (company.com). Ok, o processo para adicionar um segundo UPN parece bastante simples . Testá-lo e mover as contas até que estejam todas no UPN desejado parece bastante razoável.

Existe alguma desvantagem em apenas fazer isso? A dívida técnica do grim reaper eventualmente chegará se ficarmos nesse nome de domínio 'não pertencente' à ABC.com indefinidamente?

Para referência, temos uma única floresta, um único domínio com tudo (floresta, nível funcional, todos os DCs) no nível 2012R2 e o Exchange 2010 nesse domínio. Existem cerca de 150 usuários e 450 computadores no AD (muita automação de desenvolvimento / teste). Embora eu tenha nos navegado com segurança de 2003 para 2012 R2, eu nunca me considero um especialista da AD.

Não parece que as renomeações de domínio são geralmente recomendadas, e como temos o Exchange 2010 em nosso domínio, não acredito que seja uma opção.

Como eu vejo, eu também posso:

  • adicione um segundo UPN e termine. Eu posso lidar com ter que configurar manualmente o UPN em coisas como nós criamos / adicioná-los ...
  • adicione um segundo domínio à floresta, mova tudo e tenha sempre esse domínio raiz legado para sempre que não posso remover
  • crie uma segunda floresta, floresta < - > Confiança de floresta, faça tudo do jeito que eu realmente quero nessa nova floresta a partir do zero ... mova tudo e, eventualmente, remova a floresta original. Realmente lento, com muito cuidado, testado para frente e para trás e, provavelmente, com grande despesa (pelo menos no tempo gasto). Em um mundo de sonhos, isso parece ser o melhor, mas não tenho certeza se posso justificar um caso de negócio para isso (a menos que alguém afirme que a chegada de um Ceifador ocorrerá).
  • ??? algo mais que eu não pensei em
por Joshua McKinnon 13.04.2017 / 00:19

1 resposta

8

Então, crise existencial sobre não possuir o domínio que você está usando internamente - de uma perspectiva do Office 365, tudo bem. O Office 365 se preocupa em verificar os domínios de email que você usa, não o domínio do AD. Portanto, a abordagem que você adotou ao alterar os UPNs para corresponder aos endereços de e-mail dos usuários é apropriada e correta.

Agora, de uma perspectiva puramente do AD, você nunca poderá obter um certificado de terceiros para esse domínio DNS interno, já que não é o proprietário dele. Isso pode ou não ser um problema para você. Você também nunca poderá fazer uma relação de confiança com outro domínio que compartilhe o mesmo nome; portanto, no caso improvável de você se fundir à empresa proprietária desse domínio e também usar esse nome, você terá pesadelos de migração. Eu imagino que a probabilidade disso é algo próximo de 0.

É muito o trabalho e potencialmente muito prejudicial para os usuários finais renomearem ou migrarem de um domínio. Neste ponto, eu sou tipicamente da opinião de que você deve apenas deixar o domínio com nomes ruins, a menos que um desses casos esteja causando problemas e apenas certifique-se de acertar na próxima rodada:)

    
por 13.04.2017 / 14:46

Tags

SSH se a saída do comando for maior que cerca de 5 linhas Forma idiomática para invocar chef-solo?