Есть ли минус в добавлении имени участника-пользователя вместо попытки исправить наше доменное имя AD?

К сожалению, я унаследовал домен Active Directory, имя которого является DNS-именем, которое не принадлежит компании - мы назовем его ABC.com. Я хотел бы, чтобы это было что-то под company.com (согласно ответу MDMarra об именах AD, я бы, вероятно, использовал ad.company.com, так как вы никогда не захотите использовать DNS-имя, которое вы используете для чего-либо еще), но это жесткое требование для теперь можно переместить электронную почту в Office 365 в этом году и использовать синхронизацию каталогов. Для этого, как минимум, мне нужно соответствующее имя участника-пользователя для нашего почтового домена (company.com). Хорошо, процесс добавления второго имени участника-пользователя кажется достаточно простым . Тестирование и перемещение учетных записей до тех пор, пока все они не окажутся в нужном UPN, кажется достаточно разумным.

Есть ли минус в этом? Придет ли в конечном итоге технический мрачный долг, если мы останемся на этом «не принадлежащем» доменном имени ABC.com на неопределенное время?

Для справки, у нас есть один лес, один домен со всем (лес, функциональный уровень, все контроллеры домена) на уровне 2012R2 и Exchange 2010 в этом домене. В AD около 150 пользователей и 450 компьютеров (много автоматизации разработки / тестирования). Хотя я благополучно провел нас с 2003 года до 2012R2, я ни в коем случае не назвал бы себя экспертом в AD.

Это не похоже на переименование домена, как правило, рекомендуется, и, поскольку у нас есть Exchange 2010 в нашем домене, я не верю, что это даже будет вариант.

Как я понимаю, я мог бы либо:

• добавить второй UPN и все готово. Я могу справиться с необходимостью вручную устанавливать UPN на вещи, когда мы создаем / добавляем их ...
• добавить второй домен в лес, переместить все и всегда иметь этот старый корневой домен навсегда, который я не могу удалить
• создайте второй лес, лес <-> доверие леса, сделайте все так, как я действительно хочу, в этом новом лесу с нуля ... переместите все и в конце удалите исходный лес. Очень медленно, очень тщательно, проверено вперед и назад, и, вероятно, с большими затратами (как минимум на затраченное время). В мире снов это кажется лучшим, но я не уверен, что смогу оправдать экономическое обоснование для этого (если кто-то не утверждает, что произойдет мрачный жнец).
• ??? что-то еще, о чем я не думал

Итак, существующий кризис, связанный с отсутствием владения доменом, который вы используете для внутреннего использования, - с точки зрения Office 365 это нормально. Office 365 заботится о проверке используемых вами доменов электронной почты, а не домена AD. Таким образом, подход, который вы выбрали, изменив UPN для соответствия адресам электронной почты пользователей, является правильным и правильным.

Теперь, с точки зрения чисто AD, вы никогда не сможете получить сторонний сертификат для этого внутреннего домена DNS, поскольку у вас его нет. Это может или не может быть проблемой для вас. Вы также никогда не сможете доверять другому домену с таким же именем, поэтому в маловероятном случае слияния с компанией, которая владеет этим доменом, и они также используют это имя, у вас будут кошмары миграции. Я предполагаю, что вероятность этого где-то близко к 0.

Это много работы и потенциально очень разрушительное конечные пользователей переименовывать или мигрировать из домена. На данный момент, как правило, я считаю, что вы должны просто покинуть плохо названный домен, если только один из этих крайних случаев не вызывает у вас душевную боль, и просто убедитесь, что вы понимаете это правильно при следующем уходе :)