Qualche svantaggio di aggiungere un UPN invece di provare a correggere il nostro nome di dominio AD?

Sfortunatamente ho ereditato un dominio Active Directory il cui nome è un nome DNS che la società non possiede - lo chiameremo ABC.com. Vorrei che fosse qualcosa sotto company.com (per la risposta di MDMarra sulla denominazione di annunci pubblicitari, probabilmente userei ad.company.com poiché non vorresti mai usare un nome DNS che usi per qualcos'altro), ma il duro requisito per ora è in grado di spostare la posta elettronica in Office 365 quest'anno e utilizzare la sincronizzazione della directory. Per questo, sembra come minimo ho bisogno di un UPN corrispondente al nostro dominio di posta elettronica (company.com). Ok, il processo per aggiungere un secondo UPN sembra abbastanza semplice . Testarlo e spostare gli account finché non sono tutti sull'UPN desiderato sembra abbastanza ragionevole.

C'è qualche svantaggio nel fare questo? Il reaper torvo del debito tecnico alla fine arriverà se rimaniamo su questo nome di dominio "non posseduto" di ABC.com indefinitamente?

Per riferimento, abbiamo una singola foresta, un singolo dominio con tutto (foresta, livello funzionale, tutti i controller di dominio) a livello 2012R2 ed Exchange 2010 su questo dominio. Ci sono circa 150 utenti e 450 computer in AD (molta automazione di sviluppo / test). Mentre ci ho navigato in sicurezza dal 2003 in avanti al 2012R2, non mi definirei affatto un esperto di AD.

Non sembra che i nomi di dominio siano generalmente consigliati e dato che abbiamo Exchange 2010 sul nostro dominio non credo che sarebbe nemmeno un'opzione.

A mio modo di vedere, potrei:

• aggiungere un secondo UPN ed essere fatto. Posso occuparmi di dover impostare manualmente l'UPN sulle cose mentre le creiamo / le aggiungiamo ...
• aggiungi un secondo dominio alla foresta, sposta tutto sopra e mantieni sempre questo dominio radice legacy per sempre che non riesco a rimuovere
• creare una seconda foresta, foresta <-> fiducia nella foresta, fare tutto come voglio davvero su questa nuova foresta da zero ... spostare tutto e infine rimuovere la foresta originale. Davvero lento, molto attentamente, testato avanti e indietro, e probabilmente a grandi spese (come minimo nel tempo trascorso). In un mondo da sogno questo sembra il migliore, ma non sono sicuro di poter giustificare un business case per questo (a meno che qualcuno non affermi che si verificherà un triste arrivo).
• ??? qualcos'altro a cui non ho pensato

Quindi, la crisi esistenziale di non possedere il dominio che stai usando internamente a parte - dal punto di vista di Office 365 va bene. Office 365 si preoccupa di verificare i domini di posta elettronica in uso, non il dominio AD. Pertanto, l'approccio adottato modificando gli UPN in modo che corrisponda agli indirizzi e-mail degli utenti è appropriato e corretto.

Ora, da una prospettiva puramente AD, non sarai mai in grado di ottenere un certificato di terze parti per quel dominio DNS interno poiché non lo possiedi. Questo potrebbe o meno essere un problema per te. Inoltre, non sarai mai in grado di fidarti di un altro dominio che condivide lo stesso nome, quindi nell'improbabile caso in cui ti unisci con la società che possiede quel dominio e usano anche quel nome, avrai incubi di migrazione. Immagino che la probabilità di questo sia vicino a 0.

È un sacco di lavoro e potenzialmente molto distruttivo per gli utenti finali rinominare o migrare da un dominio. A questo punto, sono in genere dell'opinione che dovresti semplicemente lasciare il dominio mal nominato a meno che uno di quei casi limite non ti stia causando angoscia e assicurati di ottenerlo nel prossimo giro :)