Un inconvénient à ajouter un UPN au lieu d'essayer de corriger notre nom de domaine AD?

9

Malheureusement, j'ai hérité d'un domaine Active Directory dont le nom est un nom DNS que la société ne possède pas - nous l'appellerons ABC.com. Je voudrais que ce soit quelque chose sous company.com à la place (selon la réponse de MDMarra sur la dénomination AD, j'utiliserais probablement ad.company.com car vous ne voulez jamais utiliser un nom DNS que vous utilisez pour autre chose), mais la dure exigence pour est maintenant en mesure de déplacer le courrier électronique vers Office 365 cette année et d'utiliser la synchronisation d'annuaire. Pour cela, il semble qu'au moins j'ai besoin d'un UPN correspondant à notre domaine de messagerie (company.com). Ok, le processus d'ajout d'un deuxième UPN semble assez simple . Le tester et déplacer les comptes jusqu'à ce qu'ils soient tous sur l'UPN souhaité semble assez raisonnable.

Y a-t-il un inconvénient à le faire? Le faucheur de la dette technique arrivera-t-il finalement si nous restons indéfiniment sur ce nom de domaine «non détenu» d'ABC.com?

Pour référence, nous avons une forêt unique, un domaine unique avec tout (forêt, niveau fonctionnel, tous les contrôleurs de domaine) au niveau 2012R2 et Exchange 2010 sur ce domaine. Il y a environ 150 utilisateurs et 450 ordinateurs dans AD (beaucoup d'automatisation dev / test). Alors que je nous ai navigué en toute sécurité de 2003 à 2012R2, je ne m'appellerais en aucun cas expert chez AD.

Il ne semble pas que les noms de domaine soient généralement conseillés, et puisque nous avons Exchange 2010 sur notre domaine, je ne pense pas que ce serait même une option.

Selon moi, je pourrais soit:

  • ajoutez un deuxième UPN et terminez. Je peux gérer le fait d'avoir à définir manuellement l'UPN sur les choses que nous créons / ajoutons ...
  • ajouter un deuxième domaine à la forêt, tout déplacer et toujours garder ce domaine racine hérité pour toujours que je ne peux pas supprimer
  • créer une deuxième forêt, la forêt <-> trust de forêt, tout faire comme je le veux vraiment sur cette nouvelle forêt à partir de zéro ... déplacer tout, et finalement supprimer la forêt d'origine. Vraiment lent, très soigneusement, testé en avant et en arrière, et probablement à grands frais (au minimum en temps passé). Dans un monde de rêve, cela semble mieux, mais je ne suis pas sûr de pouvoir justifier une analyse de rentabilisation pour cela (à moins que quelqu'un ne déclare qu'une sinistre arrivée se produira).
  • ??? autre chose à laquelle je n'ai pas pensé
active-directory Joshua McKinnon
la source
1
normalement ce genre de questions est voté car c'est plus une question de "meilleure pratique" mais je suis dans le même bateau et j'aimerais aussi savoir
colbyt
1
Les doigts croisés - nous ne pouvons pas être les seuls à avoir un domaine non routable ou hors de notre contrôle ... il doit aussi y avoir des faits (pas seulement une opinion) sur les aspects négatifs de cette situation ...
Joshua McKinnon
1
Will the technical debt grim reaper eventually arrive if we stay on this 'non-owned' domain name of ABC.com indefinitely?- Finalement, oui. Notez que la création d'un UPN supplémentaire ne résout pas le fait que le nom de domaine complet AD est incorrect. L'UPN est simplement un nom d'utilisateur "alternatif" que les utilisateurs peuvent utiliser pour se connecter. Il n'a aucune incidence sur votre FQDN AD réel. Je dois imaginer qu'un passage à Office 365 va être problématique pour vous, d'autant plus que vous ne "possédez" pas le nom utilisé en interne et que le nom "appartient" à une autre organisation.
joeqwerty
J'ai longtemps tracé une ligne dans le sable sur O365, Federation ou SSO externe avec une condition préalable pour trier ce que nous faisons à propos de notre FQDN AD incorrect. Il y a bien sûr d'autres maux de tête ... Je suppose que je devrai alors choisir un plan. Je ne pense pas que ce sera amusant. Merci pour la note, @joeqwerty. Si seulement je pouvais voyager dans le temps et empêcher la personne de choisir un nom que la société n'a jamais contrôlé ...
Joshua McKinnon
Ouais. C'est un défi. Idéal pour l'expérience, mais pas si grand pour le stress que cela produira sans aucun doute. Bonne chance.
joeqwerty

Réponses:

8

Donc, une crise existentielle à propos de ne pas posséder le domaine que vous utilisez en interne - d'un point de vue Office 365, c'est bien. Office 365 se soucie de vérifier les domaines de messagerie que vous utilisez, pas votre domaine AD. Par conséquent, l'approche que vous avez adoptée en modifiant les UPN pour qu'ils correspondent aux adresses e-mail des utilisateurs est appropriée et correcte.

Maintenant, d'un point de vue purement AD, vous ne pourrez jamais obtenir un certificat tiers pour ce domaine DNS interne puisque vous ne le possédez pas. Cela peut ou non être un problème pour vous. Vous ne pourrez également jamais faire confiance à un autre domaine qui partage le même nom, donc dans le cas peu probable où vous fusionneriez avec la société qui possède ce domaine et qui utilisent également ce nom, vous aurez des cauchemars de migration. J'imagine que la probabilité de cela est proche de 0.

C'est beaucoup de travail et potentiellement très perturbant pour les utilisateurs finaux de renommer ou de migrer hors d'un domaine. À ce stade, je suis généralement d'avis que vous devez simplement quitter le domaine mal nommé, à moins que l'un de ces cas extrêmes ne vous cause de chagrin et assurez-vous de bien le faire lors de la prochaine remise des gaz :)

MDMarra
la source
Si les certificats tiers et l'acquisition auprès de quelqu'un avec le même domaine sont les principaux problèmes, je suis déjà assez habitué au n ° 1, et le n ° 2 est probablement proche de 0. Bien sûr, cela me contrarie que ce ne soit pas correct, mais 't venir près de justifier la quantité de travail impliqué. Des choses comme un WSUS joint à un domaine dans Azure sont un peu ennuyeux à configurer, mais la plupart des choses qui nécessitent un accès extérieur ne font que tirer parti des certificats avec nos vrais noms DNS que nous voulons utiliser de toute façon. Je connais déjà ces maux de tête. Tout domaine que je nomme ne descendra pas dans cette voie ... une telle classe de problèmes évitables.
Joshua McKinnon
@JoshuaMcKinnon Ouais - (comme vous le savez), je suis un croisé pour nommer correctement un AD, mais de façon réaliste, faire une migration entre les forêts pour le réparer n'est qu'un fardeau déraisonnable pour tous, sauf le plus petit des environnements. C'est juste une de ces choses avec lesquelles nous devons vivre dans la plupart des cas.
MDMarra
Oui - c'est rassurant d'entendre cela de votre part. Dans ce cas, la chose sensée à faire est de vivre avec. :) Je donnerai ceci un jour ou deux et la marque sera acceptée.
Joshua McKinnon