如何計劃 Active Directory 域重命名而不會殺死我?
它看起來越來越像我必須重命名我的 Active Directory 域。
進行此更改有一個眾所周知的過程,其中包括關於 Server Fault 的一些非常好的答案(例如這個)。我知道您可能認為我想問一個重複的問題,但這包括不觸發革命的軟弱話題。
我從 Active Directory 誕生之初就繼承了一個內部 Active Directory 域。我們將
ACRO.TLD
使用 NetBIOS 名稱ACRO
(“首字母縮寫詞”的縮寫)來稱呼它。當每個人都在防火牆後面使用爺爺盒子時,這很棒。但是這種做法現在已被棄用,可能會導致麻煩。有更多的移動設備,如果域名洩露到整個網際網路,那可能會非常糟糕。
我需要
- 把改變賣給經理
- 盡量減少對使用者的干擾,尤其是那些喜歡方便的使用者(參見要求 1)。(更改 NetBIOS 域名
ACRO
將是一個交易破壞者)。在規劃和展示變更時必然會做出增加成功機會的決定(即使用者不會拿著乾草叉和火把出現在我家門口)。這顯然是一個主觀問題,最好的答案將來自已經經歷過變革的人。
將其出售給管理層可能包括解釋“非常糟糕的事情”背後的原因,並結合“變化不應該那麼糟糕”。
所以現在的問題是如何讓改變不那麼糟糕,換句話說,盡量減少對使用者的干擾。我討厭聽起來很開放,但我可能會被一些基本的東西絆倒。
我們擁有我將呼叫的域
COMPANYNAME.COM
和COMPANYNAME.NET
. 我們的外部網路存在和電子郵件地址(電子郵件在外部託管,沒有 Exchange)使用COMPANYNAME.COM
;我們有COMPANYNAME.NET
作為防止域名搶注的緩衝區。所以我認為我最好的選擇是
ACRO.COMPANYNAME.COM
(子域)
COMPANYNAME.NET
我更喜歡
ACRO.COMPANYNAME.COM
,因為使用者已經習慣ACRO
並且COMPANYNAME.COM
我們只是將兩者結合在一起。無需更改 NetBIOS 域名,當然 Windows 10 登錄螢幕預設使用電腦加入的域。由於我已經制定了現有的做法,使用者已經接受過培訓,可以為 Windows 登錄和電子郵件使用單獨的使用者名和密碼(託管電子郵件可能是一件好事)
一些缺點是
ACRO.COMPANYNAME.COM
已經是在 Internet DNS 中註冊的主機名。- 當兩個帳戶都包含
companyname
.- 一個潛在的痛點是人們必須輸入三倍才能輸入登錄憑據。
但這些是繼續前進的真正障礙
ACRO.COMPANYNAME.COM
嗎?我錯過了什麼嗎?
如果您的組織發生變化並且您需要全新的目錄結構,請務必藉此機會選擇最佳實踐 DNS 名稱。但是您還沒有發現值得做一個重命名項目的問題,無論是技術還是使用者體驗。
添加一個 UPN
COMPANYNAME.COM
或可能COMPANYNAME
並進行 UserPrincipalName 轉換,應該很容易。將其描述為使用(看起來像)他們的電子郵件地址登錄的使用者。雖然,您訓練他們將電子郵件憑據與 AD DS 分開,所以這可能會造成混淆。
ACRO.TLD
在內部網路安全區域中很好,您可以保留它。註冊名稱,以防客戶端繞過內部 DNS。如果使用者期望其他東西,或者期望這是公共存在(網路伺服器),挑戰就會出現。ACRO.COMPANYNAME.COM 已經是在 Internet DNS 中註冊的主機名。
我建議避免使用公開存在的名稱,即使您可以圍繞衝突和混亂進行設計。也許像
ACRO.COMPANYNAME.NET
.