オンプレADのUPN変更による影響(代替UPNサフィックス利用)
既存オンプレAD環境にて「test.local」のようなインターネットで名前解決できないアドレスが利用されている場合、Entraハイブリッド参加を構成できません。
その際、代替UPNサフィックスを利用し、オンプレAD側のドメイン名を変更することで回避することがあると思います。
Entraハイブリッド参加は構成可能になりますが、既存のオンプレシステム側で影響が出る可能性があります。どのような影響が出るか、一部紹介させていただきます(網羅的な情報ではありませんので、あくまで参考情報としていただければと思います)
UPN の変更が DC 間で複製されておらず、新しい UPN を使用してログオンすることができなかった
UPNの変更を実施したDCとその他のDCが複製に失敗し、新しいUPNを利用してユーザーがログオンを試みた際に、UPNの変更情報が反映されていないDCに接続してしまい、ログオンに失敗するという事象が発生したことがありました。
UPN の変更前の情報が クライアント側でキャッシュされており、ログオンすることができなかった
新しいUPNを利用して、PC 自体にはログオンできるものの、メールクライアントのアプリが、変更前のUPNの状態でキャッシュされた認証情報を使用し、メールサーバーにアクセスしてしまったため認証に失敗し、サーバーにアクセスすることができず、メールアプリが起動できないなどの事象が発生したことがありました。
アプリケーションが AD と同期せず変更前の UPN の情報を所持し、続けて失敗している
ユーザーのUPNの情報を基に、動作する業務アプリケーションが存在している環境で、アプリケーションが ADと同期をしておらず、アプリケーションがUPN の属性を変更する前の情報を使用し続けていたため、意図しない応答が返ってくる事象が発生したことがありました。
UPN を変更する前に取得したユーザー証明書を利用した認証に失敗する
802.1x 認証やスマートカードログオンに使用するユーザー証明書の “subject name" の項目にはユーザーの UPN の情報が使用されます。
証明書を利用したユーザー認証を実施する場合にはこの “subject name" の項目に格納している UPN の情報を利用して認証を行います。
このため、UPN を変更する前に取得したユーザー証明書を、UPN を変更した後にも利用した場合、古い UPN 情報が使用され、認証に失敗し、正常にログオンできない、または、ネットワークに接続できないなどの問題が発生します。 なお、ユーザー証明書を利用した認証を UPN 変更後も利用される場合には、UPN を変更後、"subject name" の項目が 新たな UPN になった、ユーザー証明書を新たに取得する必要があります。