不幸的是,我继承了一个Active Directory域,该域的名称是该公司不拥有的DNS名称-我们将其称为ABC.com。我希望它成为company.com下的内容(根据MDMarra在AD命名上的回答,我可能会使用ad.company.com,因为您永远不想使用用于其他用途的DNS名称),但是对于现在将能够在今年使用目录同步功能将电子邮件移动到Office 365。为此,看来我至少需要一个与我们的电子邮件域(company.com)相匹配的UPN。好的,添加第二个UPN的过程似乎很简单。测试它并转移帐户,直到它们全部都位于所需的UPN上似乎是足够合理的。
这样做有什么弊端吗?如果我们无限期地使用ABC.com的“非拥有”域名,技术债务严峻收成者最终会到达吗?
作为参考,我们有一个单一的目录林,单个域,其中包含处于2012R2级别的所有内容(目录林,功能级别,所有DC)以及该域上的Exchange 2010。AD(大量的开发/测试自动化)中大约有150位用户和450台计算机。尽管从2003年到2012R2我一直在安全地导航,但我绝对不能称自己是AD的专家。
似乎一般不建议使用域名重命名,并且由于我们在域上安装了Exchange 2010,所以我什至不认为这是一个选择。
如我所见,我可以:
- 添加第二个UPN并完成。我可以处理在创建/添加事物时必须手动设置UPN的问题...
- 在目录林中添加第二个域,移走所有内容,并永远拥有我无法删除的旧根域
- 创建第二个森林,森林<->森林信任,从头开始在新森林中按照我真正想要的方式进行操作...移动所有内容,并最终删除原始森林。真的很慢,真的很仔细,前后测试,并且可能要付出很大的代价(花费最少的时间)。在理想的世界中,这似乎是最好的选择,但是我不确定我是否可以为此辩护(除非有人指出收割者将到来)。
- ??? 我没想到的其他事情
1
通常,这类问题会被否决,因为这更像是“最佳实践”问题,但我在同一条船上,也想知道
—
colbyt 17-4-12
相互指责-我们不能是唯一拥有不可路由域或无法控制的域的人...此外,对于这种情况的负面影响还必须有一些事实(不仅仅是观点)...
—
约书亚·麦金农
Will the technical debt grim reaper eventually arrive if we stay on this 'non-owned' domain name of ABC.com indefinitely?-最终,是的。请注意,创建其他UPN并不能解决AD FQDN错误的事实。UPN只是用户可用来登录的“备用”用户名。它与您的实际AD FQDN无关。我已经想像到迁移到Office 365对您来说将是个问题,尤其是看到您不“拥有”内部使用的名称,而该名称“属于”另一个组织。
我长期以来一直在O365,联合会或外部SSO上划清界限,前提是要弄清我们对不正确的AD FQDN的处理方式。当然,它还有其他令人头疼的问题……我想那时候我需要制定一个计划。我不希望这会很有趣。感谢您的来信,@ joeqwerty。如果我能使时光倒流并阻止人们选择公司从未控制的名字……
—
Joshua McKinnon
是的 这是一个挑战。非常适合体验,但毫无疑问会给它带来很大的压力。祝好运。
—
joeqwerty