AD alan adımızı düzeltmeye çalışmak yerine UPN eklemenin herhangi bir olumsuz yanı var mı?

9

Maalesef, adı şirketin sahibi olmadığı bir DNS adı olan bir Active Directory etki alanını devraldım - buna ABC.com adını vereceğiz. Bunun yerine company.com altında bir şey olmasını isterim ( MDMarra'nın AD adlandırma cevabı başına muhtemelen ad.company.com'u kullanırım çünkü asla başka bir şey için kullandığınız bir DNS adını kullanmak istemezsiniz), ancak artık bu yıl ve Dizin Eşitleme'yi kullanarak e-postayı Office 365'e taşıyabiliyor. Bunun için, en azından e-posta alanımızla (company.com) eşleşen bir UPN'ye ihtiyacım var gibi görünüyor. Tamam, ikinci bir UPN ekleme işlemi yeterince basit görünüyor . Test etmek ve hesapları istenen UPN'ye gelene kadar hareket ettirmek yeterince makul görünüyor.

Bunu yapmanın bir dezavantajı var mı? ABC.com'un 'sahipsiz' alan adında süresiz olarak kalırsak teknik borç azrail ulaşır mı?

Referans olarak, 2012R2 düzeyinde her şeye (orman, işlev düzeyi, tüm DC'ler) ve bu etki alanında Exchange 2010'a sahip tek bir ormanımız var. AD'de yaklaşık 150 kullanıcı ve 450 bilgisayar vardır (birçok geliştirme / test otomasyonu). Bizi 2003'ten 2012R2'ye kadar güvenle yönlendirmiş olsam da, kendime hiçbir zaman AD'de uzman demem.

Etki alanı adlarının genellikle önerildiği gibi görünmüyor ve alanımızda Exchange 2010 bulunduğundan bunun bir seçenek olabileceğine inanmıyorum.

Gördüğüm gibi, ben de:

  • ikinci bir UPN ekleyin ve tamamlayın. Biz onları oluşturmak / eklemek gibi şeyler üzerinde UPN ayarlamak zorunda başa çıkabilirim ...
  • ormana ikinci bir alan ekleyin, her şeyi taşıyın ve her zaman bu eski kök alan adını sonsuza kadar kaldıramayacağım
  • ikinci bir orman yaratın, orman <-> orman güveni yaratın, bu yeni ormanda gerçekten istediğim her şeyi baştan aşağı yapın ... her şeyi taşıyın ve sonunda orijinal ormanı kaldırın. Gerçekten yavaş, gerçekten dikkatlice, ileri ve geri test edildi ve muhtemelen büyük bir masrafla (en az harcanan zamanda). Bir rüya dünyasında bu en iyi gibi görünüyor, ancak bunun için bir iş vakasını haklı çıkarabileceğimden emin değilim (birisi azrail varışının gerçekleşeceğini belirtmedikçe).
  • ??? düşünmediğim başka bir şey
active-directory 
Joshua McKinnon
kaynak
1
normalde bu tür sorular daha iyi bir "en iyi uygulama" sorusu olduğu için aşağı indirilir ama aynı
tekneyim
1
Parmaklar geçti - yönlendirilemeyen bir alana veya kontrolümüz dışında bir alana sahip olamayız ... Ayrıca bu durumun olumsuzlukları hakkında bazı gerçekler (sadece fikir değil) olmalı ...
Joshua McKinnon
1
Will the technical debt grim reaper eventually arrive if we stay on this 'non-owned' domain name of ABC.com indefinitely?- Sonunda, evet. Ek bir UPN oluşturmanın AD FQDN'sinin yanlış olduğu gerçeğini ele almadığını unutmayın. UPN, kullanıcıların oturum açmak için kullanabileceği "alternatif" bir kullanıcı adıdır. Gerçek AD FQDN'niz üzerinde hiçbir etkisi yoktur. Office 365'e geçişin sizin için sorunlu olacağını hayal etmeliyim, özellikle de dahili olarak kullanılan isme "sahip olmadığınızı" ve adın başka bir kuruluşa "ait olduğunu" görün.
joeqwerty
Uzun zamandır O365, Federasyon veya harici TOA'daki kumda bir çizgi çizdim, önkoşul yanlış AD FQDN'miz hakkında ne yaptığımızı sıraladım. Elbette başka baş ağrıları da var ... Sanırım ileriye doğru bir plan seçmem gerekecek. Eğlenceli olacağını sanmıyorum. Not için teşekkürler, @joeqwerty. Keşke zamanda geriye gidersem ve şirketin asla kontrol etmediği bir isim seçmesini önleyebilirsem ...
Joshua McKinnon
Evet. Zor bir soru. Deneyim için harika, ama hiç şüphesiz üreteceği stres için o kadar da büyük değil. İyi şanslar.
joeqwerty

Yanıtlar:

8

Bu nedenle, dahili olarak kullandığınız etki alanına sahip olmamanızla ilgili varoluşsal kriz - Office 365 perspektifinden bakıldığında sorun yok. Office 365, AD etki alanınızı değil, kullandığınız e-posta alan adlarını doğrulamayı önemser. Dolayısıyla, UPN'leri kullanıcıların e-posta adresleriyle eşleşecek şekilde değiştirdiğiniz yaklaşım uygun ve doğrudur.

Artık tamamen AD perspektifinden, sahip olmadığınız için bu dahili DNS etki alanı için hiçbir zaman üçüncü taraf sertifikası alamazsınız. Bu sizin için bir sorun olabilir veya olmayabilir. Aynı adı paylaşan başka bir alan adına asla güvenemezsiniz, bu nedenle bu alanın sahibi olan şirketle birleşmeniz ve bu adı da kullanmaları durumunda, göçmen kabuslarına sahip olursunuz. Bunun 0'a yakın bir yerde olduğunu hayal ediyorum.

Bu var çok adlandırmak veya bir etki dışına göç etmeye son kullanıcılara potansiyel olarak çok yıkıcı çalışmalarının ve. Bu noktada, tipik olarak, bu kenar vakalardan biri sizi acıya neden olmadıkça ve bir sonraki gidişte aldığınızdan emin olmadıkça, kötü adlandırılmış etki alanını bırakmanız gerektiği fikrindeyim :)

MDMarra
kaynak
Üçüncü taraf sertifikaları ve aynı etki alanına sahip birinden edinme ana sorunlarsa, zaten # 1'e oldukça alışkınım ve # 2 olasılığı 0'a yakın. Tabii, bana doğru olmadığını söylüyor, ama bu doğru değil işin miktarını haklı çıkarmaya yaklaşmayın. Azure'da etki alanına katılmış bir WSUS gibi şeyleri yapılandırmak biraz can sıkıcıdır, ancak dışarıdan erişime ihtiyaç duyan çoğu şey, yine de kullanmak istediğimiz gerçek DNS adlarımızla sertifikalardan yararlanır. Bu baş ağrılarına zaten aşinayım. Adını verdiğim herhangi bir alan adı bu yolda ilerlemeyecek ... bu kadar önlenebilir bir sorun sınıfı.
Joshua McKinnon
@JoshuaMcKinnon Evet - (bildiğiniz gibi) AD'yi düzgün bir şekilde adlandırmak için bir haçlıyım, ancak bunu düzeltmek için gerçekçi olarak ormanlar arası bir göç yapmak, en küçük ortamlar hariç herkes için makul olmayan bir yük. Çoğu durumda birlikte yaşamamız gereken şeylerden sadece bir tanesi.
MDMarra
Evet - bunu sizden duymak güven verici. Bu durumda yapılacak mantıklı şey onunla yaşamaktır. :) Bunu bir iki gün vereceğim ve kabul ettim.
Joshua McKinnon
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.