如何规划 Active Directory 域重命名而不会导致死亡?

如何规划 Active Directory 域重命名而不会导致死亡?

看起来我越来越需要重命名我的 Active Directory 域。

进行这种更改有一个众所周知的过程,包括 Server Fault 上已经存在的一些非常好的答案(像这个)我知道你可能认为我想问一个重复的问题,但这其中包括“不引发革命”这个模糊的话题。

我从 Active Directory 诞生之初就继承了一个内部 Active Directory 域。我们将其称为ACRO.TLDNetBIOS 名称ACRO(“首字母缩略词”的缩写)。

当每个人都使用爷爷盒子防火墙后面。但这种做法现在已被弃用,并可能导致后续问题。移动设备越来越多,如果域名泄露到整个互联网上,情况可能会非常糟糕。

我需要

  1. 向管理人员推销变革
  2. 尽量减少对用户的干扰,尤其是那些喜欢便捷的用户(参见要求 1)。(更改 NetBIOS 域名ACRO将会破坏交易)。

在规划和展示变革时,必然会做出一些决定来增加成功的机会(例如,用户不会拿着干草叉和火把出现在我家门口)。这显然是一个主观问题,最好的答案应该来自已经经历过变革的人。

向管理层推销可能包括解释非常糟糕的事情背后的原因,以及“变化不应该那么糟糕”。

所以现在的问题是如何让改变不那么糟糕,换句话说,尽量减少对用户的干扰。我不想听起来很空洞,但我可能在一些基本问题上犯了错误。

我们拥有我称之为COMPANYNAME.COM和的域名COMPANYNAME.NET。我们的外部网站和电子邮件地址(电子邮件托管在外部,没有 Exchange)使用COMPANYNAME.COMCOMPANYNAME.NET作为防止域名抢注的缓冲。

所以我认为我最好的选择是

ACRO.COMPANYNAME.COM(子域名)
COMPANYNAME.NET

我更喜欢ACRO.COMPANYNAME.COM,因为用户习惯了ACROCOMPANYNAME.COM,我们只是将两者结合起来。无需更改 NetBIOS 域名,当然 Windows 10 登录屏幕默认使用计算机加入的域。

由于我已经列出的现有做法,用户已经接受过培训,使用单独的用户名和密码进行 Windows 登录和电子邮件(对于托管电子邮件来说,这可能是一件好事)

缺点如下

  • ACRO.COMPANYNAME.COM已经是 Internet DNS 中注册的主机名。
  • 当两个帐户都包含时,可能会产生一些混淆companyname
  • 一个痛点是,人们输入登录凭证时需要输入的内容可能会增加三倍。

但这些是继续前进的真正障碍吗ACRO.COMPANYNAME.COM?我是否忽略了什么?

答案1

如果您的组织发生变化,并且您需要一个全新的目录结构,请务必抓住机会选择一个最佳实践的 DNS 名称。但您还没有发现值得进行重命名项目的问题(无论是技术问题还是用户体验问题)。


添加 UPNCOMPANYNAME.COM或可能COMPANYNAME并进行 UserPrincipalName 转换应该很容易。向用户描述这是使用(看起来像)他们的电子邮件地址登录。尽管您训练他们将电子邮件凭据与 AD DS 分开,但这可能会造成混淆。


ACRO.TLD在内部网络安全区域中是可以的,您可以保留它。注册名称,以防客户端绕过内部 DNS。如果用户期望其他内容,或者期望这是公开存在(Web 服务器),则会出现挑战。

ACRO.COMPANYNAME.COM 已经是在 Internet DNS 中注册的主机名。

我建议避免使用公开存在的名称,即使你可以设计避免冲突和混淆。也许像ACRO.COMPANYNAME.NET.

答案2

考虑研究 Active Directory 联合服务。它应该允许多个独立的不相关域共存,同时允许跨域信任和共存。它做得好的一件事是允许一家公司在收购狂潮中让所有收购的 AD 相互良好地沟通。

相关内容