Alguma desvantagem em adicionar um UPN em vez de tentar corrigir nosso nome de domínio do AD?


9

Infelizmente, herdei um domínio do Active Directory cujo nome é um nome DNS que a empresa não possui - nós o chamaremos de ABC.com. Em vez disso, gostaria que fosse algo sob o company.com (de acordo com a resposta da MDMarra ao nome do AD, eu provavelmente usaria ad.company.com, já que você nunca deseja usar um nome DNS usado para qualquer outra coisa), mas o requisito mais difícil para agora é possível mover o email para o Office 365 este ano e usando a Sincronização de Diretórios. Para isso, parece que no mínimo eu preciso de um UPN correspondente ao nosso domínio de email (company.com). Ok, o processo para adicionar um segundo UPN parece bastante simples . Testá-lo e mover as contas até que estejam todos no UPN desejado parece bastante razoável.

Existe alguma desvantagem em fazer isso? A dívida técnica sombria ceifará eventualmente se permanecermos neste nome de domínio 'não pertencente' da ABC.com indefinidamente?

Para referência, temos uma única floresta, um domínio único com tudo (floresta, nível funcional, todos os DCs) no nível 2012R2 e Exchange 2010 nesse domínio. Existem cerca de 150 usuários e 450 computadores no AD (muita automação de desenvolvimento / teste). Embora nos tenha navegado com segurança de 2003 em diante a 2012R2, não me chamaria de especialista na AD.

Parece que os nomes de domínio geralmente não são recomendados e, como temos o Exchange 2010 em nosso domínio, não acredito que seja uma opção.

A meu ver, eu poderia:

  • adicione um segundo UPN e pronto. Eu posso lidar com a necessidade de definir manualmente o UPN nas coisas à medida que as criamos / adicionamos ...
  • adicione um segundo domínio à floresta, mova tudo e sempre tenha esse domínio raiz herdado para sempre que não consigo remover
  • crie uma segunda floresta, floresta <-> confiança da floresta, faça tudo do jeito que eu realmente quero nesta nova floresta a partir do zero ... mova tudo e, eventualmente, remova a floresta original. Muito devagar, com muito cuidado, testado para a frente e para trás, e provavelmente com grandes despesas (no mínimo no tempo gasto). Em um mundo de sonhos, isso parece melhor, mas não tenho certeza se posso justificar um caso comercial para isso (a menos que alguém indique que uma chegada de ceifador ocorrerá).
  • ??? outra coisa que eu não pensei

1
Normalmente este tipo de perguntas se downvoted como esta é mais uma questão de "melhores práticas", mas eu estou no mesmo barco e também gostaria de saber
colbyt

1
Dedos cruzados - não podemos ser os únicos com um domínio não roteável ou um fora do nosso controle ... também tem que haver alguns fatos (e não apenas opinião) sobre os negativos dessa situação ...
Joshua McKinnon

1
Will the technical debt grim reaper eventually arrive if we stay on this 'non-owned' domain name of ABC.com indefinitely?- Eventualmente, sim. Observe que a criação de um UPN adicional não aborda o fato de o AD FQDN estar incorreto. O UPN é apenas um nome de usuário "alternativo" que os usuários podem usar para fazer login. Não tem influência no seu AD FQDN real. Eu tenho que imaginar que uma mudança para o Office 365 será problemática para você, principalmente porque você não "possui" o nome que está em uso internamente e que o nome "pertence" a outra organização.
joeqwerty

Há muito tempo traço uma linha na areia no O365, Federation ou SSO externo com pré-requisito para classificar o que fazemos com nosso AD FQDN incorreto. É claro que tem outras dores de cabeça ... Acho que vou precisar escolher um plano adiante. Eu não espero que seja divertido. Obrigado pela observação, @joeqwerty. Se eu pudesse voltar no tempo e impedir que a pessoa escolher um nome a empresa nunca controlado ...
Joshua McKinnon

Sim. É um desafio. Ótimo para a experiência, mas não tão bom para o estresse que sem dúvida produzirá. Boa sorte.
joeqwerty

Respostas:


8

Portanto, crise existencial por não possuir o domínio que você está usando internamente à parte - de uma perspectiva do Office 365, isso é bom. O Office 365 se preocupa em verificar os domínios de email que você usa, não o domínio do AD. Portanto, a abordagem adotada ao alterar os UPNs para corresponder aos endereços de email dos usuários é apropriada e correta.

Agora, de uma perspectiva puramente do AD, você nunca poderá obter um certificado de terceiros para esse domínio DNS interno, pois não o possui. Isso pode ou não ser um problema para você. Você também nunca poderá confiar em outro domínio que compartilhe o mesmo nome; portanto, no improvável evento de fusão com a empresa que possui esse domínio e eles também estiverem usando esse nome, você terá pesadelos de migração. Eu imagino que a probabilidade disso seja algo próximo de 0.

É muito trabalhoso e potencialmente muito perturbador para os usuários finais renomear ou migrar para fora de um domínio. Neste ponto, sou tipicamente da opinião de que você deve deixar o domínio com nomes inadequados, a menos que um desses casos extremos esteja causando dor de cabeça e certifique-se de acertar na próxima rodada :)


Se certificados e aquisições de terceiros de alguém com o mesmo domínio são os principais problemas, eu já estou acostumado ao número 1 e a probabilidade do número 2 é próxima de 0. Claro, me incomoda que não esteja correto, mas isso não acontece. chegou perto de justificar a quantidade de trabalho envolvido. Coisas como um WSUS ingressado no domínio no Azure são um pouco chatas de configurar, mas a maioria das coisas que precisam de acesso externo apenas aproveitam os certificados com nossos nomes DNS reais que queremos usar de qualquer maneira. Eu já estou familiarizado com essas dores de cabeça. Qualquer domínio que eu citar não seguirá esse caminho ... uma classe de problemas tão evitável.
Joshua McKinnon

@JoshuaMcKinnon Yeah - (como você sabe) Sou um cruzado por nomear corretamente um AD, mas fazer realisticamente uma migração entre florestas para corrigi-lo é apenas um fardo não razoável para todos, exceto o menor dos ambientes. É apenas uma daquelas coisas com as quais temos que conviver na maioria dos casos.
MDMarra

Sim - é reconfortante ouvir isso de você. Nesse caso, a coisa mais sensata a fazer é viver com isso. :) Vou dar um dia ou dois e marcar como aceito.
Joshua McKinnon
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.