Infelizmente, herdei um domínio do Active Directory cujo nome é um nome DNS que a empresa não possui - nós o chamaremos de ABC.com. Em vez disso, gostaria que fosse algo sob o company.com (de acordo com a resposta da MDMarra ao nome do AD, eu provavelmente usaria ad.company.com, já que você nunca deseja usar um nome DNS usado para qualquer outra coisa), mas o requisito mais difícil para agora é possível mover o email para o Office 365 este ano e usando a Sincronização de Diretórios. Para isso, parece que no mínimo eu preciso de um UPN correspondente ao nosso domínio de email (company.com). Ok, o processo para adicionar um segundo UPN parece bastante simples . Testá-lo e mover as contas até que estejam todos no UPN desejado parece bastante razoável.
Existe alguma desvantagem em fazer isso? A dívida técnica sombria ceifará eventualmente se permanecermos neste nome de domínio 'não pertencente' da ABC.com indefinidamente?
Para referência, temos uma única floresta, um domínio único com tudo (floresta, nível funcional, todos os DCs) no nível 2012R2 e Exchange 2010 nesse domínio. Existem cerca de 150 usuários e 450 computadores no AD (muita automação de desenvolvimento / teste). Embora nos tenha navegado com segurança de 2003 em diante a 2012R2, não me chamaria de especialista na AD.
Parece que os nomes de domínio geralmente não são recomendados e, como temos o Exchange 2010 em nosso domínio, não acredito que seja uma opção.
A meu ver, eu poderia:
- adicione um segundo UPN e pronto. Eu posso lidar com a necessidade de definir manualmente o UPN nas coisas à medida que as criamos / adicionamos ...
- adicione um segundo domínio à floresta, mova tudo e sempre tenha esse domínio raiz herdado para sempre que não consigo remover
- crie uma segunda floresta, floresta <-> confiança da floresta, faça tudo do jeito que eu realmente quero nesta nova floresta a partir do zero ... mova tudo e, eventualmente, remova a floresta original. Muito devagar, com muito cuidado, testado para a frente e para trás, e provavelmente com grandes despesas (no mínimo no tempo gasto). Em um mundo de sonhos, isso parece melhor, mas não tenho certeza se posso justificar um caso comercial para isso (a menos que alguém indique que uma chegada de ceifador ocorrerá).
- ??? outra coisa que eu não pensei
fonte
Will the technical debt grim reaper eventually arrive if we stay on this 'non-owned' domain name of ABC.com indefinitely?- Eventualmente, sim. Observe que a criação de um UPN adicional não aborda o fato de o AD FQDN estar incorreto. O UPN é apenas um nome de usuário "alternativo" que os usuários podem usar para fazer login. Não tem influência no seu AD FQDN real. Eu tenho que imaginar que uma mudança para o Office 365 será problemática para você, principalmente porque você não "possui" o nome que está em uso internamente e que o nome "pertence" a outra organização.Respostas:
Portanto, crise existencial por não possuir o domínio que você está usando internamente à parte - de uma perspectiva do Office 365, isso é bom. O Office 365 se preocupa em verificar os domínios de email que você usa, não o domínio do AD. Portanto, a abordagem adotada ao alterar os UPNs para corresponder aos endereços de email dos usuários é apropriada e correta.
Agora, de uma perspectiva puramente do AD, você nunca poderá obter um certificado de terceiros para esse domínio DNS interno, pois não o possui. Isso pode ou não ser um problema para você. Você também nunca poderá confiar em outro domínio que compartilhe o mesmo nome; portanto, no improvável evento de fusão com a empresa que possui esse domínio e eles também estiverem usando esse nome, você terá pesadelos de migração. Eu imagino que a probabilidade disso seja algo próximo de 0.
É muito trabalhoso e potencialmente muito perturbador para os usuários finais renomear ou migrar para fora de um domínio. Neste ponto, sou tipicamente da opinião de que você deve deixar o domínio com nomes inadequados, a menos que um desses casos extremos esteja causando dor de cabeça e certifique-se de acertar na próxima rodada :)
fonte