Eu tenho 1275 UPN Suffix no AD. Este é o máximo permitido no Windows Server 2012.
$domain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain();
$domaindn = ($domain.GetDirectoryEntry()).distinguishedName;
$upnDN = "cn=partitions,cn=configuration,$domaindn";
Quando eu crio um usuário usando a interface ADAC, não consigo selecionar um UPN com um Sufixo UPN que não esteja listado nos Sufixos ADNT UPN.
No entanto, posso criar um usuário usando o PowerShell com qualquer Sufixo UPN.
$userDN = "cn=Users,$domaindn";
$userLogin = "[email protected]";
New-ADUser -AccountPassword (Read-Host -AsSecureString "Insert $userLogin Account Password") -DisplayName "" -EmailAddress $userLogin -Enabled $true -Name $userLogin -Path $userDN -PasswordNeverExpires $true -SAMAccountName $userLogin -UserPrincipalName $userLogin
Isso não adiciona o Sufixo UPN como confiável do AD. Tanto quanto eu testei, o usuário trabalha bem.
Até onde eu sei, a "lista UPN confiável" é o que preenche a caixa de diálogo ao criar um novo usuário. Não há problemas com usuários criados usando qualquer UPN via PowerShell ou outra API.
Tanto quanto me lembro dos meus dias com o HMC / MPS, qualquer UPN personalizado (cada cliente teria um ou vários UPNs exclusivos) era nunca adicionado à "lista UPN", que deveria vá mostrar que é suportado a criação de usuários com UPNs "não confiáveis".