Наш домен AD - foo.com, NetBIOS FOO_D1. Предыдущий сотрудник добавил второй суффикс UPN, bar.com. Теперь наш фирменный стиль вращается вокруг bar.com, поэтому он используется в адресах электронной почты каждого. Все новые пользователи получают UPN с суффиксом bar.com. Мы не перенесли существующих пользователей AD с foo.com на bar.com, но это планируется (они делатьоднако используйте электронную почту bar.com).
У нас есть существующий центр сертификации, настроенный на одном из наших контроллеров домена (2008 R2) для foo.com. Насколько мне известно, мы ни для чего не используем этот ЦС, и этот DC планируется удалить, как только все наши DC 2012 года будут запущены и будут работать.
Теперь у нас есть необходимость использовать наш ЦС, чтобы начать развертывание сертификатов для доступа к сети (и я хотел бы включить цифровую подпись для пользователей почты).
Я настраиваю новый центр сертификации, но я намерен настроить его для bar.com, а не для foo.com. Я предполагаю, что могу изменить общее имя и отличительное имя, но поскольку на самом деле нет пути LDAP для DC = bar, DC = com, я предполагаю, что это не сработает так, как я думаю. Я ожидаю, что AD фактически не сможет хранить ключевую информацию, поскольку этот путь LDAP не существует.
Итак, могу ли я вообще делать то, что пытаюсь здесь сделать? Мне нужно добавить какую-то реферальную ссылку в LDAP, чтобы DC = bar, DC = com работал? Нужно ли мигрировать наших пользователей foo.com, чтобы это работало?