Все больше и больше похоже на то, что мне придется переименовать свой домен Active Directory.
Существует хорошо известный процесс внесения этого изменения, в том числе несколько очень хороших ответов о сбое сервера (как этот). Насколько я понимаю, вы можете подумать, что я хочу задать повторяющийся вопрос, но он включает мягкую тему «Не спровоцировать революцию».
Я унаследовал внутренний домен Active Directory с момента появления Active Directory. Мы назовем это ACRO.TLD с именем NetBIOS ACRO (сокращение от «акроним»).
Это было здорово, когда все использовали дедушка коробка за брандмауэром. Но эта практика сейчас устарела и может вызвать проблемы в будущем. Мобильных устройств намного больше, и, вероятно, было бы очень плохо, если бы домен просочился в Интернет в целом.
мне нужно
ACRO было бы нарушением сделки).При планировании и представлении изменений обязательно должны быть приняты решения, которые увеличивают шансы на успех (например, пользователи не появляются у моей двери с вилами и факелами). Очевидно, что это субъективный вопрос, и лучшие ответы будут получены от людей, которые уже прошли через изменения.
Продажа этого руководству, вероятно, состоит из объяснения причин, стоящих за очень плохими вещами, в сочетании с тем, что «изменение не должно быть таким уж плохим».
Итак, теперь вопрос в том, как сделать изменение не таким уж плохим, иными словами, минимизировать неудобства для пользователей. Ненавижу говорить открыто, но, возможно, я спотыкаюсь о чем-то простом.
У нас есть домены, которые я назову COMPANYNAME.COM и COMPANYNAME.NET. Наше внешнее присутствие в Интернете и адреса электронной почты (электронная почта размещается на внешнем сервере, нет Exchange) используют COMPANYNAME.COM; у нас есть COMPANYNAME.NET в качестве буфера против самозахвата доменов.
Поэтому я думаю, что мои лучшие альтернативы
ACRO.COMPANYNAME.COM (поддомен)
COMPANYNAME.NET
я предпочитаю ACRO.COMPANYNAME.COM, потому что пользователи привыкли ACRO и COMPANYNAME.COM и мы просто сводим их вместе. Нет необходимости изменять доменное имя NetBIOS, и, конечно же, экран входа в Windows 10 по умолчанию использует домен, к которому подключен компьютер.
Из-за существующей практики, которую я уже изложил, пользователи уже обучены использовать отдельные имена пользователей и пароли для входа в Windows и электронной почты (вероятно, хорошая вещь с размещенной электронной почтой)
Некоторые из минусов
ACRO.COMPANYNAME.COM уже является именем хоста, зарегистрированным в Internet DNS. companyname.Но действительно ли это препятствия для продвижения вперед ACRO.COMPANYNAME.COM? Я что-то упускаю?
Если ваша организация меняется и вам нужна совершенно новая структура каталогов, обязательно воспользуйтесь возможностью и выберите лучшее DNS-имя. Но вы не определили проблему, техническую или пользовательскую, для которой стоит переименовать проект.
Добавление UPN COMPANYNAME.COM или возможно COMPANYNAME и выполнение преобразования UserPrincipalName должно быть простым. Опишите это пользователям как вход в систему, используя (как выглядит) свой адрес электронной почты. Хотя вы научили их отделять учетные данные электронной почты от AD DS, поэтому это может сбивать с толку.
ACRO.TLD во внутренней зоне безопасности сети все в порядке, можете оставить себе. Зарегистрируйте имя, на всякий случай клиенты обходят внутренний DNS. Проблемы возникают, если пользователи ожидают чего-то другого или ожидают, что это будет публичное присутствие (веб-сервер).
ACRO.COMPANYNAME.COM уже является именем хоста, зарегистрированным в DNS в Интернете.
Я предлагаю избегать публичных имен присутствия, даже если вы можете спроектировать вокруг конфликтов и путаницы. Возможно что-то вроде ACRO.COMPANYNAME.NET.
Рассмотрите возможность изучения федеративных служб Active Directory. Он должен позволять сосуществовать нескольким независимым несвязанным доменам, одновременно разрешая междоменное доверие и сосуществование. Одна из вещей, которые он делает хорошо, - это возможность компании, находящейся в разгуле поглощений, заставить все приобретенные AD хорошо разговаривать друг с другом.