Bất kỳ nhược điểm nào khi thêm UPN thay vì cố gắng sửa tên miền AD của chúng tôi?

Thật không may, tôi đã thừa hưởng một miền Active Directory có tên là tên DNS mà công ty không sở hữu - chúng tôi sẽ gọi nó là ABC.com. Tôi muốn nó là một cái gì đó theo company.com thay vào đó (theo câu trả lời của MDMarra về cách đặt tên quảng cáo có lẽ tôi sẽ sử dụng ad.company.com vì bạn không bao giờ muốn sử dụng tên DNS mà bạn sử dụng cho bất kỳ điều gì khác), nhưng yêu cầu khó đối với bây giờ là để có thể di chuyển email đến Office 365 trong năm nay và sử dụng Đồng bộ hóa thư mục. Vì thế, có vẻ như ở mức tối thiểu tôi cần UPN phù hợp với tên miền email của chúng tôi (company.com). Ok, quá trình thêm UPN thứ hai có vẻ đơn giản . Kiểm tra nó và di chuyển các tài khoản cho đến khi tất cả chúng đều nằm trên UPN mong muốn có vẻ đủ hợp lý.

Có bất kỳ nhược điểm để chỉ làm điều này? Liệu công cụ gặt hái nợ kỹ thuật cuối cùng sẽ đến nếu chúng ta ở lại tên miền 'không thuộc sở hữu' này của ABC.com?

Để tham khảo, chúng tôi có một khu rừng, một miền duy nhất với mọi thứ (rừng, cấp chức năng, tất cả các DC) ở cấp 2012R2 và Exchange 2010 trên miền này. Có khoảng 150 người dùng và 450 máy tính trong AD (rất nhiều dev / test tự động). Mặc dù tôi đã điều hướng chúng tôi một cách an toàn từ năm 2003 đến 2012R2, nhưng tôi không bao giờ tự gọi mình là chuyên gia về AD.

Nó không giống như việc đổi tên miền thường được khuyên và vì chúng tôi có Exchange 2010 trên tên miền của mình, tôi không tin rằng nó thậm chí sẽ là một lựa chọn.

Theo tôi thấy, tôi có thể:

• thêm một UPN thứ hai và được thực hiện. Tôi có thể đối phó với việc phải đặt UPN theo cách thủ công cho những thứ khi chúng tôi tạo / thêm chúng ...
• thêm tên miền thứ hai vào rừng, di chuyển mọi thứ và luôn có tên miền gốc kế thừa này mà tôi không thể xóa
• tạo một khu rừng thứ hai, rừng <-> tin tưởng rừng, làm mọi thứ theo cách tôi thực sự muốn trên khu rừng mới này từ mặt đất lên ... di chuyển mọi thứ, và cuối cùng loại bỏ khu rừng ban đầu. Thực sự chậm, thực sự cẩn thận, thử nghiệm tiến và lùi, và có lẽ với chi phí lớn (tối thiểu trong thời gian chi tiêu). Trong một thế giới mơ ước, điều này có vẻ tốt nhất, nhưng tôi không chắc mình có thể biện minh cho một trường hợp kinh doanh cho việc này (trừ khi có ai đó nói rằng việc đến máy gặt nghiệt ngã sẽ xảy ra).
• ??? một cái gì đó khác tôi không nghĩ đến

Vì vậy, khủng hoảng hiện sinh về việc không sở hữu tên miền bạn đang sử dụng bên trong - từ góc độ Office 365, điều này là tốt. Office 365 quan tâm đến việc xác minh tên miền email mà bạn đang sử dụng, không phải miền AD của bạn. Vì vậy, cách tiếp cận mà bạn đã thực hiện bằng cách thay đổi UPN để khớp với địa chỉ email của người dùng là phù hợp và chính xác.

Bây giờ, từ góc độ hoàn toàn AD, bạn sẽ không bao giờ có thể nhận được chứng chỉ của bên thứ ba cho tên miền DNS nội bộ đó vì bạn không sở hữu nó. Điều này có thể hoặc không thể là một vấn đề cho bạn. Bạn cũng sẽ không bao giờ có thể tin tưởng với một tên miền khác có cùng tên, vì vậy trong trường hợp không chắc là bạn hợp nhất với công ty sở hữu tên miền đó và họ cũng đang sử dụng tên đó, bạn sẽ gặp ác mộng di chuyển. Tôi tưởng tượng xác suất của điều này là ở đâu đó gần bằng 0.

Đó là rất nhiều công việc và có khả năng rất gián đoạn để người dùng cuối đổi tên hoặc di chuyển ra khỏi một tên miền. Tại thời điểm này, tôi thường cho rằng bạn chỉ nên rời khỏi tên miền được đặt tên kém trừ khi một trong những trường hợp cạnh đó khiến bạn đau lòng và chỉ cần đảm bảo rằng bạn sẽ hiểu đúng trong lần tiếp theo :)