Preparare un dominio non instradabile per la sincronizzazione della directory

  • Articolo

Quando si sincronizza la directory locale con Microsoft 365, è necessario disporre di un dominio verificato nell Microsoft Entra ID. Vengono sincronizzati solo i nomi dell'entità utente (UPN) associati al dominio Active Directory locale Domain Services (AD DS). Tuttavia, qualsiasi UPN che contiene un dominio non instradabile, ad esempio ".local" (ad esempio, billa@contoso.local), viene sincronizzato con un dominio con estensione onmicrosoft.com (ad esempio: billa@contoso.onmicrosoft.com).

Se attualmente si usa un dominio ".local" per gli account utente in Active Directory Domain Services, è consigliabile modificarli per usare un dominio verificato. Ad esempio, billa@contoso.com, per eseguire correttamente la sincronizzazione con il dominio di Microsoft 365.

Cosa accade se si dispone solo di un dominio locale ".local"?

Si usa Microsoft Entra Connect per sincronizzare Active Directory Domain Services con il tenant Microsoft Entra del tenant di Microsoft 365. Per altre informazioni, vedere Integrazione delle identità locali con l'ID Microsoft Entra.

Microsoft Entra Connect sincronizza l'UPN e la password degli utenti in modo che gli utenti possano accedere con le stesse credenziali usate in locale. Tuttavia, Microsoft Entra Connect sincronizza solo gli utenti ai domini verificati da Microsoft 365. Microsoft Entra ID verifica il dominio, in quanto gestisce le identità di Microsoft 365. In altre parole, il dominio deve essere un dominio Internet valido, ad esempio .com, .org, .NET, .us. Se Active Directory Domain Services interno usa solo un dominio non instradabile (ad esempio , ".local"), questo non può corrispondere al dominio verificato per il tenant di Microsoft 365. È possibile risolvere questo problema modificando il dominio primario in Active Directory Domain Services locale oppure aggiungendo uno o più suffissi UPN.

Modificare il dominio primario

Modificare il dominio primario in un dominio verificato in Microsoft 365, ad esempio contoso.com. Ogni utente con il dominio contoso.local viene quindi aggiornato a contoso.com. Si tratta tuttavia di un processo coinvolto e nella sezione seguente viene descritta una soluzione più semplice.

Aggiungere suffissi UPN e aggiornarli agli utenti

È possibile risolvere il problema ".local" registrando nuovi suffissi UPN in Active Directory Domain Services in modo che corrispondano al dominio (o ai domini) verificati in Microsoft 365. Dopo aver registrato il nuovo suffisso, aggiornare gli UPN utente per sostituire ".local" con il nuovo nome di dominio, ad esempio, in modo che un account utente abbia un aspetto simile billa@contoso.coma .

Dopo aver aggiornato gli UPN per usare il dominio verificato, è possibile sincronizzare Active Directory Domain Services locale con Microsoft 365.

Passaggio 1: Aggiungere il nuovo suffisso UPN

  1. Nel controller di dominio Active Directory Domain Services, nella Server Manager scegliere Strumenti>Domini e trust di Active Directory.

    Oppure, se non hai Windows Server 2012

    Premere Tasto Windows + R per aprire la finestra di dialogo Esegui , quindi digitare Domain.msc e quindi scegliere OK.

    Scegliere Domini e trust di Active Directory.

  2. Nella finestra Domini e trust di Active Directory fare clic con il pulsante destro del mouse su Domini e trust di Active Directory e quindi scegliere Proprietà.

    Fare clic con il pulsante destro del mouse su Domini e trust di Active Directory e scegliere Proprietà.

  3. Nella scheda Suffissi UPN digitare il nuovo suffisso o suffisso UPN nella casella Suffissi UPN alternativi e quindi scegliere Aggiungi>applica.

    Aggiungere un nuovo suffisso UPN.

    Scegliere OK al termine dell'aggiunta di suffissi.

Passaggio 2: Modificare il suffisso UPN per gli utenti esistenti

  1. Nel controller di dominio di Active Directory Domain Services, nel Server Manager scegliere Strumenti>Utenti e computer di Active Directory.

    Oppure, se non hai Windows Server 2012

    Premere Tasto Windows + R per aprire la finestra di dialogo Esegui , quindi digitare Dsa.msc e quindi selezionare OK

  2. Selezionare un utente, fare clic con il pulsante destro del mouse e quindi scegliere Proprietà.

  3. Nell'elenco a discesa Suffisso UPN della scheda Account scegliere il nuovo suffisso UPN e quindi scegliere OK.

    Aggiungere un nuovo suffisso UPN per un utente.

  4. Completare questi passaggi per ogni utente.

Usare PowerShell per modificare il suffisso UPN per tutti gli utenti

Se si dispone di numerosi account utente da aggiornare, è più facile usare PowerShell. Nell'esempio seguente vengono usati i cmdlet Get-ADUser e Set-ADUser per modificare tutti i suffissi contoso.local in contoso.com in Active Directory Domain Services.

Ad esempio, è possibile eseguire i comandi di PowerShell seguenti per aggiornare tutti i suffissi contoso.local a contoso.com:

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Per altre informazioni sull'uso di Windows PowerShell in Active Directory Domain Services, vedere Modulo di Windows PowerShell di Active Directory.