Gibt es einen Nachteil beim Hinzufügen eines UPN, anstatt zu versuchen, unseren AD-Domainnamen zu korrigieren?

9

Leider habe ich eine Active Directory-Domäne geerbt, deren Name ein DNS-Name ist, den das Unternehmen nicht besitzt - wir nennen ihn ABC.com. Ich möchte, dass es stattdessen etwas unter company.com ist ( gemäß der Antwort von MDMarra zur AD-Benennung würde ich wahrscheinlich ad.company.com verwenden, da Sie niemals einen DNS-Namen verwenden möchten, den Sie für irgendetwas anderes verwenden), aber die harte Anforderung für Jetzt soll es möglich sein, E-Mails in diesem Jahr mit der Verzeichnissynchronisierung nach Office 365 zu verschieben. Dafür brauche ich mindestens einen passenden UPN für unsere E-Mail-Domain (company.com). Ok, der Vorgang zum Hinzufügen eines zweiten UPN scheint einfach genug zu sein . Das Testen und Verschieben von Konten, bis sich alle auf dem gewünschten UPN befinden, erscheint vernünftig genug.

Gibt es einen Nachteil, wenn man das einfach macht? Wird der Sensenmann für technische Schulden irgendwann eintreffen, wenn wir auf unbestimmte Zeit auf diesem Domain-Namen von ABC.com bleiben?

Als Referenz haben wir eine einzelne Gesamtstruktur, eine einzelne Domäne mit allem (Gesamtstruktur, Funktionsebene, alle Domänencontroller) auf 2012R2-Ebene und Exchange 2010 in dieser Domäne. Es gibt ungefähr 150 Benutzer und 450 Computer in AD (viel Entwicklungs- / Testautomatisierung). Während ich uns von 2003 bis 2012R2 sicher navigiert habe, würde ich mich keineswegs als Experte bei AD bezeichnen.

Es sieht nicht so aus, als würden Domain-Umbenennungen generell empfohlen, und da wir Exchange 2010 auf unserer Domain haben, glaube ich nicht, dass dies überhaupt eine Option wäre.

Aus meiner Sicht könnte ich entweder:

  • Fügen Sie einen zweiten UPN hinzu und fertig. Ich kann damit umgehen, dass ich den UPN für Dinge, die wir erstellen / hinzufügen, manuell einstellen muss ...
  • Fügen Sie der Gesamtstruktur eine zweite Domäne hinzu, verschieben Sie alles und haben Sie immer diese alte Stammdomäne für immer, die ich nicht entfernen kann
  • Erstellen Sie einen zweiten Wald, Forest <-> Forest Trust, tun Sie alles so, wie ich es wirklich möchte, in diesem neuen Wald von Grund auf ... verschieben Sie alles und entfernen Sie schließlich den ursprünglichen Wald. Sehr langsam, sehr sorgfältig, vorwärts und rückwärts getestet und wahrscheinlich mit großem Aufwand (mit minimalem Zeitaufwand). In einer Traumwelt scheint dies am besten zu sein, aber ich bin nicht sicher, ob ich einen Business Case dafür rechtfertigen kann (es sei denn, jemand gibt an, dass eine Ankunft eines Sensenmanns stattfinden wird).
  • ??? etwas anderes, an das ich nicht gedacht habe
active-directory Joshua McKinnon
quelle
1
Normalerweise werden diese Fragen abgelehnt, da dies eher eine "Best Practice" -Frage ist, aber ich bin im selben Boot und würde es auch gerne wissen
Colbyt
1
Daumen drücken - wir können nicht die einzigen sein, die entweder eine nicht routbare Domäne oder eine außerhalb unserer Kontrolle haben ... auch müssen einige Fakten (nicht nur Meinungen) zu den Negativen dieser Situation
vorliegen
1
Will the technical debt grim reaper eventually arrive if we stay on this 'non-owned' domain name of ABC.com indefinitely?- Irgendwann ja. Beachten Sie, dass das Erstellen eines zusätzlichen UPN nicht die Tatsache berücksichtigt, dass der AD-FQDN falsch ist. Der UPN ist lediglich ein "alternativer" Benutzername, mit dem sich Benutzer anmelden können. Es hat keinen Einfluss auf Ihren tatsächlichen AD FQDN. Ich muss mir vorstellen, dass ein Wechsel zu Office 365 für Sie problematisch sein wird, insbesondere weil Sie den intern verwendeten Namen nicht "besitzen" und der Name einer anderen Organisation "gehört".
Joeqwerty
Ich habe lange eine Linie in den Sand auf O365, Federation oder externem SSO gezogen, mit der Voraussetzung, dass wir herausfinden, was wir mit unserem falschen AD-FQDN tun. Es hat natürlich andere Kopfschmerzen ... Ich denke, ich muss dann einen Plan für die Zukunft auswählen. Ich erwarte nicht, dass es Spaß macht. Danke für den Hinweis, @joeqwerty. Wenn ich nur in die Vergangenheit reisen und die Person daran hindern könnte, einen Namen zu wählen, den die Firma nie kontrolliert hat ...
Joshua McKinnon
Ja. Es ist eine Herausforderung. Großartig für die Erfahrung, aber nicht so großartig für den Stress, den es zweifellos erzeugen wird. Viel Glück.
Joeqwerty

Antworten:

8

Eine existenzielle Krise, in der es darum geht, die Domäne, die Sie intern verwenden, nicht zu besitzen - aus Sicht von Office 365 ist dies in Ordnung. Office 365 kümmert sich um die Überprüfung der verwendeten E-Mail-Domänen, nicht Ihrer AD-Domäne. Der Ansatz, den Sie gewählt haben, indem Sie die UPNs so geändert haben, dass sie mit den E-Mail-Adressen der Benutzer übereinstimmen, ist angemessen und korrekt.

Aus rein AD-Sicht können Sie jetzt niemals ein Zertifikat eines Drittanbieters für diese interne DNS-Domäne erhalten, da Sie es nicht besitzen. Dies kann ein Problem für Sie sein oder auch nicht. Sie können auch niemals einer anderen Domain mit demselben Namen vertrauen. In dem unwahrscheinlichen Fall, dass Sie mit dem Unternehmen fusionieren, dem diese Domain gehört und das auch diesen Namen verwendet, treten Migrations-Albträume auf. Ich würde mir vorstellen, dass die Wahrscheinlichkeit dafür irgendwo in der Nähe von 0 liegt.

Es ist eine Menge Arbeit und möglicherweise sehr störend für Endbenutzer, eine Domäne umzubenennen oder aus dieser zu migrieren. An diesem Punkt bin ich normalerweise der Meinung, dass Sie die schlecht benannte Domain nur verlassen sollten, es sei denn, einer dieser Randfälle verursacht Ihnen Herzschmerz und stellen Sie sicher, dass Sie es beim nächsten Start richtig machen :)

MDMarra
quelle
Wenn Zertifikate von Drittanbietern und der Erwerb von jemandem mit derselben Domain die Hauptprobleme sind, bin ich bereits ziemlich an Nummer 1 gewöhnt, und die Wahrscheinlichkeit Nr. 2 liegt nahe bei 0. Sicher, es ärgert mich, dass es nicht korrekt ist, aber das tut es nicht Es ist nicht annähernd gerechtfertigt, den Arbeitsaufwand zu rechtfertigen. Dinge wie ein WSUS mit Domänenbeitritt in Azure sind etwas ärgerlich zu konfigurieren, aber die meisten Dinge, die Zugriff von außen benötigen, nutzen nur Zertifikate mit unseren echten DNS-Namen, die wir sowieso verwenden möchten. Ich bin bereits mit diesen Kopfschmerzen vertraut. Jede Domain, die ich nenne, wird diesen Weg nicht gehen ... solch eine vermeidbare Klasse von Problemen.
Joshua McKinnon
@JoshuaMcKinnon Ja - (wie Sie wissen) Ich bin ein Kreuzfahrer für die korrekte Benennung eines AD, aber realistisch eine gesamtstrukturübergreifende Migration durchzuführen, um dies zu beheben, ist nur eine unangemessene Belastung für alle außer den kleinsten Umgebungen. Es ist nur eines dieser Dinge, mit denen wir in den meisten Fällen leben müssen.
MDMarra
Ja - es ist beruhigend, dies von Ihnen zu hören. In diesem Fall ist es sinnvoll, damit zu leben. :) Ich gebe dies ein oder zwei Tage und markiere akzeptiert.
Joshua McKinnon