残念ながら、私はその名前が会社が所有していないDNS名であるActive Directoryドメインを継承しました。これをABC.comと呼びます。代わりにcompany.comの下にあるものにしたい(ADの命名に関するMDMarraの回答によると、他のものに使用するDNS名を使用したくないので、おそらくad.company.comを使用します)が、今年は、メールをOffice 365に移行し、ディレクトリ同期を使用できるようになります。そのためには、少なくとも私たちの電子メールドメイン(company.com)に一致するUPNが必要なようです。OK、2つ目のUPNを追加するプロセスは非常に単純なようです。それをテストし、アカウントがすべて望ましいUPNになるまでアカウントを移動することは、十分に妥当と思われます。
これを行うだけの欠点はありますか?ABC.comのこの「所有されていない」ドメイン名に無期限に留まると、最終的に技術的負債の死神が到着するのでしょうか?
参考までに、2012R2レベルのすべて(フォレスト、機能レベル、すべてのDC)を持つ単一のフォレスト、単一のドメイン、およびこのドメインにExchange 2010があります。ADには約150人のユーザーと450台のコンピューターがあります(多くの開発/テスト自動化)。私は2003年から2012R2まで安全にナビゲートしましたが、決してADの専門家とは言いません。
ドメイン名の変更が一般的に推奨されているようには見えません。また、ドメインにExchange 2010があるため、それがオプションになるとは思いません。
それを見ると、私は次のいずれかを行うことができます:
- 2番目のUPNを追加して完了します。作成/追加するときに、手動でUPNを設定する必要があることに対処できます...
- 2番目のドメインをフォレストに追加し、すべてを移動します。このレガシールートドメインは常に削除できません。
- 2つ目のフォレストを作成し、フォレスト<->フォレストの信頼を作成し、この新しいフォレストで最初からやりたいようにすべてを実行します。すべてを移動し、最終的に元のフォレストを削除します。非常に遅く、非常に慎重に、前後にテストされ、おそらく多大な費用がかかります(最小限の時間で)。夢の世界ではこれが最善のように見えますが、私はこれについてのビジネスケースを正当化できるかどうか確信が持てません(誰かが死神の到着が起こると述べていない限り)。
- ??? 私が考えていない何か他のもの
1
これは、「ベストプラクティス」質問の詳細ですが、私は同じ船に乗って午前うも知っていただきたいと、通常の質問のこれらの種類は、downvoted取得
—
colbyt
指が交差しました-ルーティング不可能なドメインまたは私たちの制御外のドメインを持つのは私たちだけではありません...また、この状況のネガティブについていくつかの事実(意見だけではありません)がなければなりません...
—
ジョシュアマッキンノン
Will the technical debt grim reaper eventually arrive if we stay on this 'non-owned' domain name of ABC.com indefinitely?-結局、はい。追加のUPNを作成しても、AD FQDNが正しくないという事実には対処しないことに注意してください。UPNは、ユーザーがログインに使用できる「代替」ユーザー名にすぎません。実際のAD FQDNには影響しません。私は、Office 365への移行が問題になることを想像しなければなりません。特に、内部で使用されている名前を「所有」しておらず、その名前が別の組織に「属している」ことがわかります。
私は長い間、O365、フェデレーション、または外部SSOについて、不正確なAD FQDNについて私たちが何をすべきかを整理して、一筋縄で引き分けてきました。もちろん、他にも頭痛の種があります。そのときは、前もって計画を立てる必要があると思います。楽しいとは思いません。メモをありがとう、@ joeqwerty。私が過去にさかのぼって会社が管理していない名前を選択するのを防ぐことができれば...
—
ジョシュアマッキンノン2017
うん。それは挑戦的なものです。体験には最適ですが、間違いなく生じるストレスにはそれほど適していません。幸運を。
—
joeqwerty 2017