6
UPN nicht gleich AD-DN: Probleme?
Hallo Leute,
ich bin gerade dabei, einen neuen DC mit einer neuen Domäne einzurichten.
Zusätzlich kommt Exchange Online mit Azure AD Sync zum Einsatz.
Gleich Vorweg:
AD Domäne: test.xy
Mail Domain: test.com
Beide sind öffentliche Domains.
Prinzipiell empfiehlt ja MS bei Verwendung von deren Onlinediensten, dass der UPN ident mit der Mailadresse ist.
Soweit ich das aber verstanden habe, ist das eine reine Empfehlung, da es so mehr Komfort für die User beim Anmelden ist (sie brauchen sich nur einen Anmeldenamen merken).
Ein befreundeter Admin teilte mir jedoch mit, dass ich mit dieser Einstellung etwas vorsichtig sein soll.
Es gibt/gab Programme, die auch auf die Anmeldedaten vom AD zugreifen und die damit Probleme haben, wenn der UPN nicht den AD-Domänennamen enthält.
Daher empfiehlt er eher, dies ganz "klassisch" zu lassen. Zugegeben: Seine Erfahrungen mit Änderung des UPN sind mittlerweile einige Jahre alt.
Dazu kommt die Tatsache, dass sich die User nie online bei MS anmelden werden/können, da sie deren Kennwort gar nicht wissen (verwenden Smartcardauthentifizierung). Somit ist auch der Komfortgewinn für mich nicht ausschlaggebend.
Meine Frage nun an euch:
Hattet ihr schon mal Probleme, wenn der UPN nicht den AD-Domänennamen enthält?
Oder kurzum: soll ich es "klassisch" lassen (UPN beinhaltet den AD-Domänennamen) oder soll ich der Empfehlung von MS folgen (UPN = Mailadresse)?
Danke für eure Rückmeldungen.
Patrick
ich bin gerade dabei, einen neuen DC mit einer neuen Domäne einzurichten.
Zusätzlich kommt Exchange Online mit Azure AD Sync zum Einsatz.
Gleich Vorweg:
AD Domäne: test.xy
Mail Domain: test.com
Beide sind öffentliche Domains.
Prinzipiell empfiehlt ja MS bei Verwendung von deren Onlinediensten, dass der UPN ident mit der Mailadresse ist.
Soweit ich das aber verstanden habe, ist das eine reine Empfehlung, da es so mehr Komfort für die User beim Anmelden ist (sie brauchen sich nur einen Anmeldenamen merken).
Ein befreundeter Admin teilte mir jedoch mit, dass ich mit dieser Einstellung etwas vorsichtig sein soll.
Es gibt/gab Programme, die auch auf die Anmeldedaten vom AD zugreifen und die damit Probleme haben, wenn der UPN nicht den AD-Domänennamen enthält.
Daher empfiehlt er eher, dies ganz "klassisch" zu lassen. Zugegeben: Seine Erfahrungen mit Änderung des UPN sind mittlerweile einige Jahre alt.
Dazu kommt die Tatsache, dass sich die User nie online bei MS anmelden werden/können, da sie deren Kennwort gar nicht wissen (verwenden Smartcardauthentifizierung). Somit ist auch der Komfortgewinn für mich nicht ausschlaggebend.
Meine Frage nun an euch:
Hattet ihr schon mal Probleme, wenn der UPN nicht den AD-Domänennamen enthält?
Oder kurzum: soll ich es "klassisch" lassen (UPN beinhaltet den AD-Domänennamen) oder soll ich der Empfehlung von MS folgen (UPN = Mailadresse)?
Danke für eure Rückmeldungen.
Patrick
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 432693
Url: https://administrator.de/forum/upn-nicht-gleich-ad-dn-probleme-432693.html
Ausgedruckt am: 07.04.2025 um 05:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Nein, keine Probleme. Das ist bei mir eher Standard.
Thomas
Danke Thomas für deine Antwort.
Verwendest du (nicht MS) Programme mit AD-Anbindung? Irgendwelche Probleme?
Wie lange machst du das schon so (UPN enthält nicht den AD-Domänennamen)?
Grüße
Patrick
Verwendest du (nicht MS) Programme mit AD-Anbindung? Irgendwelche Probleme?
Wie lange machst du das schon so (UPN enthält nicht den AD-Domänennamen)?
Grüße
Patrick
Ja, und keine Probleme. Aber das zu wissen nützt dir nichts. 
Wenn dann ist das Problem ja applikationssspezifisch weil die Entwickler geschlampt haben.
/Thomas
Wenn dann ist das Problem ja applikationssspezifisch weil die Entwickler geschlampt haben./Thomas
I know , I know
Ich wollte trotzdem jetzt mal vorfühlen, was denn diesbezüglich die Community zu diesem Thema sagt.
Ich wollte trotzdem jetzt mal vorfühlen, was denn diesbezüglich die Community zu diesem Thema sagt.
Mahlzeit
ich betreibe dieses Konstrukt mit UPN-Suffixes seitdem ich anno 2000 das erste Active Directory aufgebaut habe und ich hatte nie Probleme mit Logins, nicht mal mit SSO für diverse Applikationen. Breche also eine Lanze für UPN=Mailadresse, das funktioniert einfach.
Cheers,
jsysde
Zitat von @Badger:
[…]Es gibt/gab Programme, die auch auf die Anmeldedaten vom AD zugreifen und die damit Probleme haben, wenn der UPN nicht den AD-Domänennamen enthält.
Welche Programme sollen das sein?[…]Es gibt/gab Programme, die auch auf die Anmeldedaten vom AD zugreifen und die damit Probleme haben, wenn der UPN nicht den AD-Domänennamen enthält.
ich betreibe dieses Konstrukt mit UPN-Suffixes seitdem ich anno 2000 das erste Active Directory aufgebaut habe und ich hatte nie Probleme mit Logins, nicht mal mit SSO für diverse Applikationen. Breche also eine Lanze für UPN=Mailadresse, das funktioniert einfach.
Cheers,
jsysde
Besten Dank für deine Ausführung!
