¿Alguna desventaja de agregar un UPN en lugar de intentar corregir nuestro nombre de dominio AD?

9

Desafortunadamente, heredé un dominio de Active Directory cuyo nombre es un nombre DNS que la compañía no posee, lo llamaremos ABC.com. En cambio, me gustaría que fuera algo en company.com (según la respuesta de MDMarra sobre el nombre de AD probablemente usaría ad.company.com, ya que nunca querrá usar un nombre DNS que use para otra cosa), pero el requisito difícil para ahora es poder mover el correo electrónico a Office 365 este año y usar la sincronización de directorios. Para eso, parece que, como mínimo, necesito un UPN coincidente con nuestro dominio de correo electrónico (company.com). Ok, el proceso para agregar un segundo UPN parece bastante simple . Probarlo y mover cuentas hasta que estén todas en el UPN deseado parece bastante razonable.

¿Hay alguna desventaja en hacer esto? ¿Llegará finalmente el segador de la deuda técnica si permanecemos en este nombre de dominio 'no propio' de ABC.com indefinidamente?

Como referencia, tenemos un bosque único, un dominio único con todo (bosque, nivel funcional, todos los DC) a nivel 2012R2 y Exchange 2010 en este dominio. Hay alrededor de 150 usuarios y 450 computadoras en AD (mucha automatización de desarrollo / prueba). Si bien nos he navegado con seguridad desde 2003 en adelante hasta 2012R2, de ninguna manera me llamaría un experto en AD.

En general, no parece que se recomienden los nombres de dominio, y dado que tenemos Exchange 2010 en nuestro dominio, no creo que sea una opción.

Tal como lo veo, podría:

  • agregue un segundo UPN y listo. Puedo lidiar con tener que configurar manualmente el UPN en las cosas a medida que las creamos / agregamos ...
  • agregue un segundo dominio al bosque, mueva todo y siempre tenga este dominio raíz heredado para siempre que no pueda eliminar
  • crear un segundo bosque, bosque <-> confianza en el bosque, hacer todo lo que realmente quiero en este nuevo bosque desde cero ... mover todo y eventualmente eliminar el bosque original. Muy lento, muy cuidadoso, probado hacia adelante y hacia atrás, y probablemente a un gran costo (como mínimo en el tiempo dedicado). En un mundo de ensueño, esto parece lo mejor, pero no estoy seguro de poder justificar un caso de negocios para esto (a menos que alguien indique que se producirá una muerte).
  • ??? algo más en lo que no he pensado
active-directory Joshua McKinnon
fuente
1
Normalmente, este tipo de preguntas son rechazadas, ya que es más una pregunta de "mejor práctica", pero estoy en el mismo barco y también me gustaría saber
colbyt
1
Crucemos los dedos: no podemos ser los únicos con un dominio no enrutable o uno fuera de nuestro control ... también debe haber algunos hechos (no solo una opinión) sobre los aspectos negativos de esta situación ...
Joshua McKinnon
1
Will the technical debt grim reaper eventually arrive if we stay on this 'non-owned' domain name of ABC.com indefinitely?- Eventualmente sí. Tenga en cuenta que la creación de un UPN adicional no aborda el hecho de que el FQDN de AD es incorrecto. El UPN es simplemente un nombre de usuario "alternativo" que los usuarios pueden usar para iniciar sesión. No tiene relación con su FQDN de AD real. Tengo que imaginar que mudarse a Office 365 será problemático para usted, especialmente al ver que no "posee" el nombre que se usa internamente y que el nombre "pertenece" a otra organización.
joeqwerty
Durante mucho tiempo he trazado una línea en la arena en O365, Federación o SSO externo con el requisito previo de resolver lo que hacemos con respecto a nuestro FQDN de AD incorrecto. Tiene otros dolores de cabeza, por supuesto ... Supongo que tendré que elegir un plan adelante entonces. No espero que sea divertido. Gracias por la nota, @joeqwerty. Si tan solo pudiera viajar en el tiempo y evitar que la persona eligiera un nombre que la compañía nunca controló ...
Joshua McKinnon
Si. Es un desafío. Excelente para la experiencia, pero no tanto para el estrés que indudablemente producirá. Buena suerte.
joeqwerty

Respuestas:

8

Por lo tanto, la crisis existencial sobre no ser propietario del dominio que está utilizando internamente, aparte, desde una perspectiva de Office 365, está bien. Office 365 se preocupa por verificar los dominios de correo electrónico que tiene en uso, no su dominio de AD. Entonces, el enfoque que ha tomado al cambiar los UPN para que coincidan con las direcciones de correo electrónico de los usuarios es apropiado y correcto.

Ahora, desde una perspectiva puramente AD, nunca podrá obtener un certificado de terceros para ese dominio DNS interno ya que no es el propietario. Esto puede o no ser un problema para usted. Tampoco podrá confiar en otro dominio que comparta el mismo nombre, por lo que, en el improbable caso de que se fusione con la empresa propietaria de ese dominio y también estén usando ese nombre, tendrá pesadillas de migración. Me imagino que la probabilidad de esto está cerca de 0.

Es mucho trabajo y potencialmente muy perjudicial para los usuarios finales cambiar el nombre o migrar fuera de un dominio. En este punto, normalmente opino que debes dejar el dominio mal nombrado a menos que uno de esos casos extremos te esté causando dolor y solo asegúrate de hacerlo bien en la próxima ronda :)

MDMarra
fuente
Si los principales problemas son los certificados de terceros y la adquisición de alguien con el mismo dominio, ya estoy bastante acostumbrado a # 1, y la probabilidad # 2 es cercana a 0. Claro, me molesta que no sea correcto, pero eso no No se acerque a justificar la cantidad de trabajo involucrado. Cosas como un WSUS unido a un dominio en Azure son un poco molestos de configurar, pero la mayoría de las cosas que necesitan acceso externo solo aprovechan los certificados con nuestros nombres DNS reales que queremos usar de todos modos. Ya estoy familiarizado con esos dolores de cabeza. Cualquier dominio que nombre no irá por este camino ... una clase de problema tan evitable.
Joshua McKinnon el
@JoshuaMcKinnon Sí, (como saben) soy un cruzado por nombrar correctamente un AD, pero hacer una migración entre bosques para solucionarlo de manera realista es solo una carga irrazonable para todos los entornos, excepto los más pequeños. Es solo una de esas cosas con las que tenemos que vivir en la mayoría de los casos.
MDMarra
Sí, es tranquilizador escuchar esto de ti. En este caso, lo más sensato es vivir con ello. :) Daré esto un día o dos y marcaré como aceptado.
Joshua McKinnon el