Przygotowywanie domeny niekierowanej do synchronizacji katalogów
Podczas synchronizowania katalogu lokalnego z usługą Microsoft 365 musisz mieć zweryfikowaną domenę w Tożsamość Microsoft Entra. Synchronizowane są tylko główne nazwy użytkownika (UPN) skojarzone z domeną lokalna usługa Active Directory Domain Services (AD DS). Jednak każda nazwa UPN, która zawiera domenę niekierowaną, taką jak .local
(na przykład: billa@contoso.local), jest synchronizowana z domeną .onmicrosoft.com
(na przykład: billa@contoso.onmicrosoft.com).
Jeśli obecnie używasz .local
domeny dla kont użytkowników w usługach AD DS, zalecamy ich zmianę w celu użycia zweryfikowanej domeny. Na przykład billa@contoso.com, w celu prawidłowej synchronizacji z domeną platformy Microsoft 365.
Co zrobić, jeśli mam tylko domenę .local
lokalną?
Usługa Microsoft Entra Connect służy do synchronizowania usług AD DS z dzierżawą Microsoft Entra dzierżawy usługi Microsoft 365. Aby uzyskać więcej informacji, zobacz Integrowanie tożsamości lokalnych z Tożsamość Microsoft Entra.
Microsoft Entra Connect synchronizuje nazwę UPN i hasło użytkowników, dzięki czemu użytkownicy mogą logować się przy użyciu tych samych poświadczeń, których używają lokalnie. Jednak Microsoft Entra Connect synchronizuje tylko użytkowników z domenami zweryfikowanymi przez platformę Microsoft 365. Tożsamość Microsoft Entra weryfikuje domenę, ponieważ zarządza tożsamościami platformy Microsoft 365. Innymi słowy, domena musi być prawidłową domeną internetową (np. .com, .org, .NET, .us). Jeśli wewnętrzne usługi AD DS używają tylko domeny niekierowanej (na przykład .local
), nie może to być zgodne ze zweryfikowaną domeną dla dzierżawy platformy Microsoft 365. Ten problem można rozwiązać, zmieniając domenę podstawową w lokalnych usługach AD DS lub dodając co najmniej jeden sufiks nazwy UPN.
Zmienianie domeny podstawowej
Zmień domenę podstawową na domenę zweryfikowaną na platformie Microsoft 365, na przykład contoso.com. Każdy użytkownik, który ma domenę contoso.local
, jest następnie aktualizowany do contoso.com. Jest to jednak proces związany z tym procesem, a łatwiejsze rozwiązanie opisano w poniższej sekcji.
Dodawanie sufiksów nazw UPN i aktualizowanie użytkowników
Problem można rozwiązać .local
, rejestrując nowe sufiksy lub sufiksy nazw UPN w usługach AD DS w celu dopasowania do domeny (lub domen) zweryfikowanej w usłudze Microsoft 365. Po zarejestrowaniu nowego sufiksu zaktualizuj nazwy UPN użytkownika, aby zastąpić .local
je nową nazwą domeny, na przykład tak, aby konto użytkownika wyglądało następująco: billa@contoso.com.
Po zaktualizowaniu nazw UPN w celu używania zweryfikowanej domeny możesz zsynchronizować lokalne usługi AD DS z usługą Microsoft 365.
Krok 1. Dodawanie nowego sufiksu nazwy UPN
Na kontrolerze domeny usług AD DS w Menedżer serwera wybierz pozycję Narzędzia>Domeny i relacje zaufania usługi Active Directory.
Lub, jeśli nie masz Windows Server 2012
Naciśnij klawisz systemu Windows + R , aby otworzyć okno dialogowe Uruchamianie , a następnie wpisz domenę Domain.msc, a następnie wybierz przycisk OK.
W oknie Domeny i relacje zaufania usługi Active Directory kliknij prawym przyciskiem myszy pozycję Domeny i relacje zaufania usługi Active Directory, a następnie wybierz pozycję Właściwości.
Na karcie Sufiksy nazwy UPN w polu Alternatywne sufiksy nazwy UPN wpisz sufiks lub sufiks nowej nazwy UPN, a następnie wybierz pozycję Dodaj>zastosuj.
Po zakończeniu dodawania sufiksów wybierz przycisk OK .
Krok 2. Zmiana sufiksu nazwy UPN dla istniejących użytkowników
Na kontrolerze domeny usług AD DS w Menedżer serwera wybierz pozycję Narzędzia>Użytkownicy i komputery usługi Active Directory.
Lub, jeśli nie masz Windows Server 2012
Naciśnij klawisz systemu Windows + R , aby otworzyć okno dialogowe Uruchamianie , a następnie wpisz plik Dsa.msc, a następnie wybierz przycisk OK
Wybierz użytkownika, kliknij prawym przyciskiem myszy, a następnie wybierz pozycję Właściwości.
Na karcie Konto na liście rozwijanej Sufiks nazwy UPN wybierz nowy sufiks nazwy UPN, a następnie wybierz przycisk OK.
Wykonaj te kroki dla każdego użytkownika.
Zmienianie sufiksu nazwy UPN dla wszystkich użytkowników przy użyciu programu PowerShell
Jeśli masz wiele kont użytkowników do zaktualizowania, łatwiej jest użyć programu PowerShell. W poniższym przykładzie użyto poleceń cmdlet Get-ADUser i Set-ADUser , aby zmienić wszystkie sufiksy contoso.local na contoso.com w usługach AD DS.
Na przykład można uruchomić następujące polecenia programu PowerShell, aby zaktualizować wszystkie sufiksy contoso.local do contoso.com:
$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
Zobacz moduł Windows PowerShell usługi Active Directory, aby dowiedzieć się więcej na temat korzystania z Windows PowerShell w usługach AD DS.