它看起来越来越像我必须重命名我的 Active Directory 域。
进行此更改有一个众所周知的过程,其中包括关于 Server Fault 的一些非常好的答案(例如这个)。我知道您可能认为我想问一个重复的问题,但这包括不触发革命的软弱话题。
我从 Active Directory 诞生之初就继承了一个内部 Active Directory 域。我们将ACRO.TLD使用 NetBIOS 名称ACRO(“首字母缩写词”的缩写)来称呼它。
当每个人都在防火墙后面使用爷爷盒子时,这很棒。但是这种做法现在已被弃用,可能会导致麻烦。有更多的移动设备,如果域名泄露到整个互联网,那可能会非常糟糕。
我需要
- 把改变卖给经理
- 尽量减少对用户的干扰,尤其是那些喜欢方便的用户(参见要求 1)。(更改 NetBIOS 域名
ACRO将是一个交易破坏者)。
在规划和展示变更时必然会做出增加成功机会的决定(即用户不会拿着干草叉和火把出现在我家门口)。这显然是一个主观问题,最好的答案将来自已经经历过变革的人。
将其出售给管理层可能包括解释“非常糟糕的事情”背后的原因,并结合“变化不应该那么糟糕”。
所以现在的问题是如何让改变不那么糟糕,换句话说,尽量减少对用户的干扰。我讨厌听起来很开放,但我可能会被一些基本的东西绊倒。
我们拥有我将调用的域COMPANYNAME.COM和COMPANYNAME.NET. 我们的外部网络存在和电子邮件地址(电子邮件在外部托管,没有 Exchange)使用COMPANYNAME.COM;我们有COMPANYNAME.NET作为防止域名抢注的缓冲区。
所以我认为我最好的选择是
ACRO.COMPANYNAME.COM(子域)
COMPANYNAME.NET
我更喜欢ACRO.COMPANYNAME.COM,因为用户已经习惯ACRO并且COMPANYNAME.COM我们只是将两者结合在一起。无需更改 NetBIOS 域名,当然 Windows 10 登录屏幕默认使用计算机加入的域。
由于我已经制定了现有的做法,用户已经接受过培训,可以为 Windows 登录和电子邮件使用单独的用户名和密码(托管电子邮件可能是一件好事)
一些缺点是
ACRO.COMPANYNAME.COM已经是在 Internet DNS 中注册的主机名。- 当两个帐户都包含
companyname. - 一个潜在的痛点是人们必须输入三倍才能输入登录凭据。
但这些是继续前进的真正障碍ACRO.COMPANYNAME.COM吗?我错过了什么吗?
如果您的组织发生变化并且您需要全新的目录结构,请务必借此机会选择最佳实践 DNS 名称。但是您还没有发现值得做一个重命名项目的问题,无论是技术还是用户体验。
添加一个 UPN
COMPANYNAME.COM或可能COMPANYNAME并进行 UserPrincipalName 转换,应该很容易。将其描述为使用(看起来像)他们的电子邮件地址登录的用户。虽然,您训练他们将电子邮件凭据与 AD DS 分开,所以这可能会造成混淆。ACRO.TLD在内部网络安全区域中很好,您可以保留它。注册名称,以防客户端绕过内部 DNS。如果用户期望其他东西,或者期望这是公共存在(网络服务器),挑战就会到来。我建议避免使用公开存在的名称,即使您可以围绕冲突和混乱进行设计。也许像
ACRO.COMPANYNAME.NET.考虑研究 Active Directory 联合服务。它应该允许多个独立的不相关域共存,同时允许跨域信任和共存。它做得好的一件事是允许一家处于收购狂潮的公司让所有被收购的广告彼此之间进行良好的交谈。