talvez alguém possa me dar uma dica sobre isso.
Estou avaliando os pré-requisitos para alterar todo o UPN do usuário (humano) em um ambiente Microsoft AD grande para o formato MS recomendado (alinhado com o endereço de correio público primário do usuário, incluindo o domínio de e-mail publicamente roteável do usuário como sufixo UPN).
Agora, a alteração de um UPN pode interromper aplicativos ou serviços ou interromper processos de logon do usuário quando o UPN é utilizado.
Estou ciente de que o UPN não é amplamente usado para logons na maioria dos ambientes de hoje ainda gostaria de elaborar se há uma maneira de diagnosticar o uso de UPNs para processos de logon.
Estamos falando de um nível funcional bem acima de 2003, mas com o NTLM ativo. Controladores de Domínio Relevantes estão executando 2012 e 2012R2. O cenário é, neste caso, limitado a uma única floresta com três domínios. Embora isso seja uma fração do ambiente, é a única parte relevante para a alteração do UPN.
Primeiro e mais simples seria verificar o log de eventos em controladores de domínio para eventos de logon. O problema é: até onde eu vejo, eles sempre logam no formato "legado" de "DOMAIN \ username", não importa qual tipo de representação de id de usuário foi usada para fazer logon. Por favor me corrija se eu estiver errado, pois isso realmente aceleraria as coisas de forma maciça.
A próxima coisa que vem à minha mente são os traços de rede dos tíquetes do Kerberos indo e voltando. Se não estou enganado sobre o Kerberos, eles são inicialmente criptografados usando a senha do usuário e, para inspecioná-los, eu precisaria descriptografar o ticket usando dados do (provavelmente) cliente desconhecido.
Agora, isso é onde eu estou incerto e espero estar errado, pois em algum momento os DCs precisam determinar qual hash de senha eles utilizam para descriptografar a mensagem. Eu admito que não fiz muitos testes sobre isso, já que eu não queria modificar os CDs agora ...
Talvez exista uma maneira diferente de abordar isso que ainda não pensei - de qualquer maneira, espero que alguém possa me dar uma pista sobre possíveis formas de lidar com esse problema.
Eu odiaria "aplicar a mudança e abaixar-se", preferiria acertar na primeira vez, se possível.