Dela via

Förbereda en icke-outerbar domän för katalogsynkronisering

  • Artikel

När du synkroniserar din lokala katalog med Microsoft 365 måste du ha en verifierad domän i Microsoft Entra ID. Endast de upn-namn (User Principal Names) som är associerade med domänen lokal Active Directory Domain Services (AD DS) synkroniseras. Dock synkroniseras alla UPN som innehåller en icke-outerbar domän, till exempel .local (exempel: billa@contoso.local), till en .onmicrosoft.com domän (exempel: billa@contoso.onmicrosoft.com).

Om du för närvarande använder en .local domän för dina användarkonton i AD DS rekommenderar vi att du ändrar dem så att de använder en verifierad domän. Till exempel billa@contoso.com, för att synkronisera korrekt med din Microsoft 365-domän.

Vad händer om jag bara har en .local lokal domän?

Du använder Microsoft Entra Connect för att synkronisera din AD DS till Microsoft Entra klientorganisation för din Microsoft 365-klientorganisation. Mer information finns i Integrera dina lokala identiteter med Microsoft Entra ID.

Microsoft Entra Connect synkroniserar användarnas UPN och lösenord så att användarna kan logga in med samma autentiseringsuppgifter som de använder lokalt. Men Microsoft Entra Connect synkroniserar bara användare till domäner som har verifierats av Microsoft 365. Microsoft Entra ID verifierar domänen eftersom den hanterar Microsoft 365-identiteter. Domänen måste med andra ord vara en giltig Internetdomän (till exempel .com, .org, .NET, .us). Om din interna AD DS endast använder en icke-outerbar domän (till exempel .local), kan detta omöjligt matcha den verifierade domän som du har för din Microsoft 365-klientorganisation. Du kan åtgärda problemet genom att antingen ändra din primära domän i din lokala AD DS eller genom att lägga till ett eller flera UPN-suffix.

Ändra din primära domän

Ändra din primära domän till en domän som du har verifierat i Microsoft 365, till exempel contoso.com. Varje användare som har domänen contoso.local uppdateras sedan till contoso.com. Det här är dock en process som är involverad och en enklare lösning beskrivs i följande avsnitt.

Lägg till UPN-suffix och uppdatera användarna till dem

Du kan lösa problemet .local genom att registrera nya UPN-suffix eller suffix i AD DS för att matcha domänen (eller domänerna) som du verifierade i Microsoft 365. När du har registrerat det nya suffixet uppdaterar du användarens UPN för att ersätta .local med det nya domännamnet, till exempel så att ett användarkonto ser ut som billa@contoso.com.

När du har uppdaterat UPN:erna för att använda den verifierade domänen är du redo att synkronisera din lokala AD DS med Microsoft 365.

Steg 1: Lägg till det nya UPN-suffixet

  1. På AD DS-domänkontrollanten går du till Serverhanteraren väljer Verktyg>Active Directory-domäner och förtroenden.

    Eller om du inte har Windows Server 2012

    Tryck på Windows-tangenten + R för att öppna dialogrutan Kör och skriv sedan i Domain.msc och välj sedan OK.

    Välj Active Directory-domäner och förtroenden.

  2. I fönstret Active Directory-domäner och förtroenden högerklickar du på Active Directory-domäner och förtroenden och väljer sedan Egenskaper.

    Högerklicka på Active Directory-domäner och förtroenden och välj Egenskaper.

  3. På fliken UPN-suffix skriver du ditt nya UPN-suffix eller suffix i rutan Alternativa UPN-suffix och väljer sedan Lägg till>Tillämpa.

    Lägg till ett nytt UPN-suffix.

    Välj OK när du är klar med att lägga till suffix.

Steg 2: Ändra UPN-suffixet för befintliga användare

  1. På AD DS-domänkontrollanten går du till Serverhanteraren väljer Verktyg>Active Directory - användare och datorer.

    Eller om du inte har Windows Server 2012

    Tryck på Windows-tangenten + R för att öppna dialogrutan Kör och skriv sedan in Dsa.msc och välj sedan OK

  2. Välj en användare, högerklicka och välj sedan Egenskaper.

  3. På fliken Konto i listrutan UPN-suffix väljer du det nya UPN-suffixet och väljer sedan OK.

    Lägg till nytt UPN-suffix för en användare.

  4. Slutför de här stegen för varje användare.

Använd PowerShell för att ändra UPN-suffixet för alla dina användare

Om du har många användarkonton att uppdatera är det enklare att använda PowerShell. I följande exempel används cmdletarna Get-ADUser och Set-ADUser för att ändra alla contoso.local-suffix till contoso.com i AD DS.

Du kan till exempel köra följande PowerShell-kommandon för att uppdatera alla contoso.local-suffix till contoso.com:

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Mer information om hur du använder Windows PowerShell i AD DS finns i Modulen Active Directory Windows PowerShell.