添加 UPN 而不是尝试更正我们的 AD 域名有什么缺点吗?

添加 UPN 而不是尝试更正我们的 AD 域名有什么缺点吗?

不幸的是,我继承了一个 Active Directory 域,其名称是公司不拥有的 DNS 名称 - 我们将其称为 ABC.com。我希望它是 company.com 下的一个名称(根据MDMarra 关于 AD 命名的回答我可能会使用 ad.company.com,因为您永远不想使用用于其他任何用途的 DNS 名称),但目前的硬性要求是能够在今年将电子邮件移动到 Office 365 并使用目录同步。为此,看起来我至少需要一个与我们的电子邮件域 (company.com) 匹配的 UPN。好的,添加第二个 UPN 的过程看起来很简单. 对其进行测试并移动帐户直到它们全部位于所需的 UPN 上似乎足够合理。

这样做有什么坏处吗?如果我们无限期地使用 ABC.com 这个“非自有”域名,技术债务死神最终会降临吗?

作为参考,我们有一个单一林、单一域,所有内容(林、功能级别、所有 DC)都处于 2012R2 级别,并且此域上有 Exchange 2010。AD 中有大约 150 个用户和 450 台计算机(大量开发/测试自动化)。虽然我已经安全地从 2003 导航到 2012R2,但我绝不会称自己为 AD 专家。

看起来域名重命名似乎通常不被建议,而且由于我们的域名上有 Exchange 2010,所以我不认为这甚至是一个选择。

在我看来,我可以:

  • 添加第二个 UPN 即可完成。我可以处理在创建/添加事物时必须手动设置 UPN 的问题...
  • 在林中添加第二个域,移动所有内容,并永远保留这个我无法删除的旧根域
  • 创建第二个森林,森林 <-> 森林信任,从头开始按照我真正想要的方式在这个新森林上做所有事情...移动一切,最终移除原始森林。非常缓慢,非常小心,前后测试,并且可能花费巨大(至少花费时间)。在梦想世界中,这似乎是最好的,但我不确定我能否证明这一点的商业案例(除非有人说死神会到来)。
  • ??? 还有我还没想到的事情

答案1

因此,除了不拥有内部使用的域的生存危机之外,从 Office 365 的角度来看,这很好。Office 365 关心的是验证您正在使用的电子邮件域,而不是您的 AD 域。因此,您通过更改 UPN 以匹配用户的电子邮件地址所采取的方法是适当且正确的。

现在,从纯粹的 AD 角度来看,由于您不拥有该内部 DNS 域,您将永远无法获得该域的第三方证书。这对您来说可能是也可能不是问题。您也永远无法与另一个具有相同名称的域建立信任,因此,如果您与拥有该域的公司合并并且他们也使用该名称(这种情况不太可能发生),您将面临迁移噩梦。我想这种情况发生的概率接近于 0。

它是很多工作量很大,而且重命名或迁移出域可能会对最终用户造成很大干扰。目前,我通常认为,除非这些极端情况让你心痛,否则你应该保留命名不当的域,并确保在下一次尝试时正确命名 :)

相关内容