我们有一个现有的内部域名,扩展名为 .internal
.internal 扩展已存在多年,并且 AD 有超过 90 个用户链接到 Exchange 2007 电子邮件帐户。
我们现在需要使用签名的 SSL 证书,这些证书需要得到第三方的信任。我们很难找到一个可以认证 .internal 域的 CA,这在某种程度上是足够公平的。
我认为我们有两种选择:
创建一个内部 CA,并说服第三方将其添加到他们自己的受信任根存储中(不太可能)
二、将域迁移到 .local。有没有人有这方面的经验,我知道有一个在 AD 上重命名域的过程,但这似乎不支持 Exchange。
答案1
.local 和 .internal 一样糟糕!您应该使用您实际拥有的第三级子域名,例如 internal.company.com,其中 company.com 是您真正合法的 ICANN(或其他)注册域名。
您说的没错,无法在安装了 Exchange 的情况下重命名域。在拥有具有正确域名的新域后,您可以使用 ADMT 执行用户、组、计算机和服务器的跨林迁移。您还必须执行 Exchange 的跨林迁移,这可能很麻烦,但有大量工具可以为您完成此操作。
答案2
补充一点。Verisign 能够为以 .internal 结尾的域名颁发证书。因此,如果您想避免 AD 迁移(谁不想呢),那么还有其他选择。