Поделиться через

Подготовка невозмежевого домена для синхронизации каталогов

  • Статья

При синхронизации локального каталога с Microsoft 365 необходимо иметь проверенный домен в Microsoft Entra ID. Синхронизируются только имена участников-пользователей, связанные с доменом локальная служба Active Directory Доменные службы (AD DS). Тем не менее любое имя участника-пользователя, содержащее невозмещаемый домен, например .local (например, billa@contoso.local), синхронизируется с доменом .onmicrosoft.com (например, billa@contoso.onmicrosoft.com).

Если в настоящее время вы используете .local домен для учетных записей пользователей в AD DS, рекомендуется изменить их, чтобы использовать проверенный домен. Например, billa@contoso.comдля правильной синхронизации с доменом Microsoft 365.

Что делать, если у меня есть только локальный .local домен?

Для синхронизации AD DS с клиентом Microsoft Entra клиента Microsoft 365 используется Microsoft Entra Connect. Дополнительные сведения см. в статье Интеграция локальных удостоверений с Microsoft Entra ID.

Microsoft Entra Connect синхронизирует имя участника-пользователя и пароль, чтобы пользователи могли входить в систему с теми же учетными данными, которые используются в локальной среде. Однако Microsoft Entra Connect синхронизирует пользователей только с доменами, проверенными Microsoft 365. Microsoft Entra ID проверяет домен, так как он управляет удостоверениями Microsoft 365. Иными словами, домен должен быть допустимым доменом Интернета (например, .com, .org, .NET, .us). Если внутренние доменные службы Active Directory используют только невозможимый домен (например, .local), это не может совпадать с проверенным доменом для клиента Microsoft 365. Эту проблему можно устранить, изменив основной домен в локальных доменных службах Active Directory или добавив один или несколько суффиксов имени участника-пользователя.

Изменение основного домена

Измените основной домен на домен, проверенный в Microsoft 365, например contoso.com. Каждый пользователь, у которого есть домен contoso.local , обновляется до contoso.com. Однако это вовлеченный процесс, и более простое решение описано в следующем разделе.

Добавление суффиксов имени участника-пользователя и обновление пользователей

Эту проблему можно решить .local , зарегистрировав новый суффикс имени участника-пользователя или суффикс в AD DS в соответствии с доменом (или доменами), проверенным в Microsoft 365. После регистрации нового суффикса вы обновите имена пользователей, чтобы заменить .local на новое доменное имя, например, чтобы учетная запись пользователя выглядела как billa@contoso.com.

После обновления имен субъектов-пользователей для использования проверенного домена вы можете синхронизировать локальные доменные службы Active Directory с Microsoft 365.

Шаг 1. Добавление нового суффикса имени участника-пользователя

  1. На контроллере домена AD DS в диспетчер сервера выберите Инструменты>Домены и отношения доверия Active Directory.

    Или, если у вас нет Windows Server 2012

    Нажмите клавиши Windows + R , чтобы открыть диалоговое окно Выполнить , а затем введите Domain.msc и нажмите кнопку ОК.

    Выберите Домены и отношения доверия Active Directory.

  2. В окне Домены и отношения доверия Active Directory щелкните правой кнопкой мыши домены и отношения доверия Active Directory, а затем выберите Свойства.

    Щелкните правой кнопкой мыши домены и отношения доверия Active Directory и выберите свойства.

  3. На вкладке Суффиксы имени участника-пользователя в поле Альтернативные суффиксы имени участника-пользователя введите новый суффикс или суффиксы имени участника-пользователя, а затем нажмите кнопку Добавить>применить.

    Добавьте новый суффикс имени участника-пользователя.

    После добавления суффиксов нажмите кнопку ОК .

Шаг 2. Изменение суффикса имени участника-пользователя для существующих пользователей

  1. На контроллере домена AD DS в диспетчер сервера выберите Сервис>Пользователи и компьютеры Active Directory.

    Или, если у вас нет Windows Server 2012

    Нажмите клавишу Windows + R, чтобы открыть диалоговое окно Выполнить, а затем введите Dsa.msc и нажмите кнопку ОК.

  2. Выберите пользователя, щелкните правой кнопкой мыши и выберите Пункт Свойства.

  3. На вкладке Учетная запись в раскрывающемся списке суффикс имени участника-пользователя выберите новый суффикс имени участника-пользователя и нажмите кнопку ОК.

    Добавьте новый суффикс имени участника-пользователя для пользователя.

  4. Выполните эти действия для каждого пользователя.

Изменение суффикса имени участника-пользователя для всех пользователей с помощью PowerShell

Если у вас есть множество учетных записей пользователей для обновления, проще использовать PowerShell. В следующем примере командлеты Get-ADUser и Set-ADUser используются для изменения всех суффиксов contoso.local на contoso.com в AD DS.

Например, можно выполнить следующие команды PowerShell, чтобы обновить все суффиксы contoso.local до contoso.com:

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Дополнительные сведения об использовании Windows PowerShell в AD DS см. в модуле Windows PowerShell Active Directory.