Wie plane ich eine Umbenennung einer Active Directory-Domäne, ohne dass sie mich umbringt?

8

Es sieht immer mehr so ​​aus, als müsste ich meine Active Directory-Domäne umbenennen.

Es gibt einen bekannten Prozess, um diese Änderung vorzunehmen, einschließlich einiger sehr guter Antworten auf Serverfehler ( wie dieser hier ). Ich verstehe, dass Sie vielleicht denken, ich möchte eine doppelte Frage stellen, aber dazu gehört auch das matschige Thema „Keine Revolution auslösen“.

Ich habe seit Beginn von Active Directory eine interne Active Directory-Domäne geerbt. Wir nennen es ACRO.TLDden NetBIOS-Namen ACRO(kurz für "Akronym").

Das war großartig, als jeder eine Opa-Box hinter der Firewall benutzte . Aber diese Praxis ist jetzt veraltet und könnte später Probleme verursachen. Es gibt viel mehr mobile Geräte und es wäre wahrscheinlich sehr schlecht, wenn die Domain ins Internet gelangen würde.

Ich muss einfach

  1. Verkaufe das Wechselgeld an Manager
  2. Minimieren Sie Störungen für Benutzer, insbesondere für Benutzer, die Komfort bevorzugen (siehe Anforderung 1). (Das Ändern des NetBIOS-Domainnamens von ACROwäre ein Deal Breaker).

Bei der Planung und Präsentation der Änderung müssen Entscheidungen getroffen werden, die die Erfolgschancen erhöhen (dh Benutzer erscheinen nicht mit Mistgabeln und Fackeln an meiner Tür). Dies ist eindeutig eine subjektive Frage, und die besten Antworten würden von Menschen kommen, die die Veränderung bereits durchgemacht haben.

Der Verkauf an das Management besteht wahrscheinlich darin, das Warum hinter den sehr schlechten Dingen zu erklären, kombiniert mit "Die Änderung sollte nicht so schlecht sein".

Die Frage ist nun, wie die Änderung nicht so schlecht gemacht werden kann, mit anderen Worten, die Störung für die Benutzer zu minimieren. Ich hasse es, offen zu klingen, aber ich stolpere vielleicht über etwas Grundlegendes.

Wir besitzen Domains, die ich anrufen werde COMPANYNAME.COMund COMPANYNAME.NET. Unsere externe Webpräsenz und E-Mail-Adressen (E-Mail wird extern gehostet, es gibt keinen Exchange) werden verwendet COMPANYNAME.COM. Wir haben COMPANYNAME.NETals Puffer gegen Domain Squatting.

Ich denke also, dass meine besten Alternativen sind

ACRO.COMPANYNAME.COM (Subdomain)
COMPANYNAME.NET

Ich ziehe es ACRO.COMPANYNAME.COM, weil die Benutzer verwendet werden , um ACROund COMPANYNAME.COMund wir bringen nur die beiden zusammen. Der NetBIOS-Domänenname muss nicht geändert werden, und natürlich verwendet der Windows 10-Anmeldebildschirm standardmäßig die Domäne, zu der ein Computer gehört.

Aufgrund der bestehenden Praxis, die ich bereits dargelegt habe, sind Benutzer bereits darin geschult, separate Benutzernamen und Kennwörter für Windows-Login und -E-Mail zu verwenden (wahrscheinlich eine gute Sache mit gehosteten E-Mails).

Einige der Nachteile sind

  • ACRO.COMPANYNAME.COM ist bereits ein im Internet-DNS registrierter Hostname.
  • Es kann einige Verwirrung geben, wenn beide Konten enthalten companyname.
  • Ein Problem, das möglicherweise die Verdreifachung der Eingabe von Anmeldeinformationen verdreifacht.

Aber sind das echte Hindernisse ACRO.COMPANYNAME.COM? Vermisse ich etwas

Spencer
quelle
5
Ich glaube nicht, dass Sie den tatsächlichen geschäftlichen oder technischen Fall für die Änderung des Namens Ihrer Domain skizziert haben. Es ist eine bedeutende Arbeit mit sehr realem Risiko und stört die Endbenutzer. Können Sie bitte näher erläutern, warum Sie dies tatsächlich tun möchten? "Es wird nicht nach Best Practices benannt" ist meiner Meinung nach kein ausreichend großer Grund, die Organisation diesem Risiko und dieser Störung auszusetzen.
MDMarra
1
Ich denke, er sagt, dass der interne Domainname tatsächlich die registrierte Domain eines anderen ist. Es funktioniert, wenn es nur intern ist, aber garantiert Konflikte verursacht, wenn Sie den Namen im Internet verwenden möchten.
Randy Orrison

Antworten:

6

Wenn sich Ihre Organisation ändert und Sie eine völlig neue Verzeichnisstruktur benötigen, nutzen Sie die Gelegenheit, um einen Best-Practice-DNS-Namen auszuwählen. Sie haben jedoch weder ein technisches noch ein Benutzererlebnis festgestellt, das es wert ist, ein Projekt umzubenennen.


Das Hinzufügen eines UPN von COMPANYNAME.COModer vielleicht COMPANYNAMEund das Durchführen einer UserPrincipalName-Konvertierung soll einfach sein. Beschreiben Sie dies den Benutzern als Anmeldung mit (wie es aussieht) ihrer E-Mail-Adresse. Sie haben sie jedoch darin geschult, E-Mail-Anmeldeinformationen von AD DS zu trennen. Dies kann daher verwirrend sein.


ACRO.TLDIn einer internen Netzwerksicherheitszone ist das in Ordnung, das können Sie behalten. Registrieren Sie den Namen für den Fall, dass Clients das interne DNS umgehen. Herausforderungen ergeben sich, wenn Benutzer etwas anderes erwarten oder erwarten, dass dies die öffentliche Präsenz (Webserver) ist.

ACRO.COMPANYNAME.COM ist bereits ein im Internet-DNS registrierter Hostname.

Ich schlage vor, die Namen der öffentlichen Präsenz zu vermeiden, auch wenn Sie Konflikte und Verwirrung umgehen können. Vielleicht so etwas ACRO.COMPANYNAME.NET.

John Mahowald
quelle
Mir wurde gerade klar, dass dies noch offen war. Ich frage mich, ob die Subdomain unbedingt erforderlich ist: Vielleicht COMPANYNAME.NETwürde es einfach funktionieren, obwohl es aufgrund des NetBIOS-Namens Verwirrung geben könnte ACRO.
Spencer
Wenn Sie nur einen Kurznamen wünschen, legen Sie einen UPN fest. Sie haben die geringsten Konflikte und Verwirrung, wenn die Subdomain nur für AD verwendet wird. COMPANYNAME.NETist toll, du hast deinen Namen auf internen Sachen, .net TLD impliziert Netzwerk. Bis das Marketing die Weiterleitung auf die öffentliche Website verlangt.
John Mahowald
Ein UPN wirkt sich nicht auf den NetBIOS-Domänennamen AFAICT aus.
Spencer
-1

Betrachten Sie Active Directory-Verbunddienste. Es sollte ermöglichen, dass mehrere unabhängige, nicht verwandte Domänen nebeneinander existieren, während domänenübergreifende Vertrauensstellungen und Koexistenz gleichzeitig möglich sind. Eines der Dinge, die es gut macht, ist es, einem Unternehmen, das sich in einer Akquisitionsphase befindet, zu ermöglichen, dass alle erworbenen ADs gut miteinander sprechen.

Tech Geek
quelle
3
Sie stellen die Rolle von AD FS falsch dar. Es funktioniert nur für webbasierte Anwendungen und hat nichts mit der Domänenmitgliedschaft von Geräten zu tun.
MDMarra