Active-Directory

如何計劃 Active Directory 域重命名而不會殺死我?

  • April 24, 2019

它看起來越來越像我必須重命名我的 Active Directory 域。

進行此更改有一個眾所周知的過程,其中包括關於 Server Fault 的一些非常好的答案(例如這個)。我知道您可能認為我想問一個重複的問題,但這包括不觸發革命的軟弱話題。

我從 Active Directory 誕生之初就繼承了一個內部 Active Directory 域。我們將ACRO.TLD使用 NetBIOS 名稱ACRO(“首字母縮寫詞”的縮寫)來稱呼它。

當每個人都在防火牆後面使用爺爺盒子時,這很棒。但是這種做法現在已被棄用,可能會導致麻煩。有更多的移動設備,如果域名洩露到整個網際網路,那可能會非常糟糕。

我需要

  1. 把改變賣給經理
  2. 盡量減少對使用者的干擾,尤其是那些喜歡方便的使用者(參見要求 1)。(更改 NetBIOS 域名ACRO將是一個交易破壞者)。

在規劃和展示變更時必然會做出增加成功機會的決定(即使用者不會拿著乾草叉和火把出現在我家門口)。這顯然是一個主觀問題,最好的答案將來自已經經歷過變革的人。

將其出售給管理層可能包括解釋“非常糟糕的事情”背後的原因,並結合“變化不應該那麼糟糕”。

所以現在的問題是如何讓改變不那麼糟糕,換句話說,盡量減少對使用者的干擾。我討厭聽起來很開放,但我可能會被一些基本的東西絆倒。

我們擁有我將呼叫的域COMPANYNAME.COMCOMPANYNAME.NET. 我們的外部網路存在和電子郵件地址(電子郵件在外部託管,沒有 Exchange)使用COMPANYNAME.COM;我們有COMPANYNAME.NET作為防止域名搶注的緩衝區。

所以我認為我最好的選擇是

ACRO.COMPANYNAME.COM(子域)

COMPANYNAME.NET

我更喜歡ACRO.COMPANYNAME.COM,因為使用者已經習慣ACRO並且COMPANYNAME.COM我們只是將兩者結合在一起。無需更改 NetBIOS 域名,當然 Windows 10 登錄螢幕預設使用電腦加入的域。

由於我已經制定了現有的做法,使用者已經接受過培訓,可以為 Windows 登錄和電子郵件使用單獨的使用者名和密碼(託管電子郵件可能是一件好事)

一些缺點是

  • ACRO.COMPANYNAME.COM已經是在 Internet DNS 中註冊的主機名。
  • 當兩個帳戶都包含companyname.
  • 一個潛在的痛點是人們必須輸入三倍才能輸入登錄憑據。

但這些是繼續前進的真正障礙ACRO.COMPANYNAME.COM嗎?我錯過了什麼嗎?

如果您的組織發生變化並且您需要全新的目錄結構,請務必藉此機會選擇最佳實踐 DNS 名稱。但是您還沒有發現值得做一個重命名項目的問題,無論是技術還是使用者體驗。


添加一個 UPNCOMPANYNAME.COM或可能COMPANYNAME並進行 UserPrincipalName 轉換,應該很容易。將其描述為使用(看起來像)他們的電子郵件地址登錄的使用者。雖然,您訓練他們將電子郵件憑據與 AD DS 分開,所以這可能會造成混淆。


ACRO.TLD在內部網路安全區域中很好,您可以保留它。註冊名稱,以防客戶端繞過內部 DNS。如果使用者期望其他東西,或者期望這是公共存在(網路伺服器),挑戰就會出現。

ACRO.COMPANYNAME.COM 已經是在 Internet DNS 中註冊的主機名。

我建議避免使用公開存在的名稱,即使您可以圍繞衝突和混亂進行設計。也許像ACRO.COMPANYNAME.NET.

引用自:https://serverfault.com/questions/944261