我们的 AD 域是 foo.com,NetBIOS FOO_D1。一位前员工添加了第二个 UPN 后缀 bar.com。我们的企业标识现在以 bar.com 为中心,因此它用于每个人的电子邮件地址。所有新用户都会获得带有 bar.com 后缀的 UPN。我们尚未将现有的 foo.com AD 用户迁移到 bar.com,但这是计划中的(他们做但是,请使用bar.com电子邮件)。
我们在其中一个域控制器 (2008 R2) 上为 foo.com 设置了一个现有 CA。据我所知,我们不会将该 CA 用于任何用途,并且一旦我们所有的 2012 DC 启动并运行,该 DC 将被删除。
我们现在需要实际使用我们的 CA 来开始部署网络访问证书(并且我想开始为邮件用户启用数字签名)。
我正在设置一个新的 CA,但我打算为 bar.com 而不是 foo.com 设置它。我假设我可以更改通用名称和专有名称,但由于实际上没有 DC=bar,DC=com 的 LDAP 路径,我猜这不会像我想象的那样工作。我预计 AD 实际上无法存储密钥信息,因为该 LDAP 路径不存在。
那么,我是否能够完成我想在这里完成的任务?我是否需要在 LDAP 中添加某种引荐链接,以便 DC=bar,DC=com 可以工作?我们的 foo.com 用户是否必须迁移才能实现此功能?