如何准备不可路由的域(如 .local 域)进行目录同步

将本地目录与 Office 365 进行同步时,必须在 Azure Active Directory 中具有已验证的域。仅会同步与本地域关联的用户主体名称 (UPN)。但是,像 .local(例如 billa@contoso.local)等任何包含不可路由的域的 UPN 将被同步到 .onmicrosoft.com 域(如 billa@contoso.onmicrosoft.com)。如果当前为 Active Directory 中的用户帐户使用 .local 域,建议更改为使用已经过验证的域(如 billa@contoso.com),以便能与你的 Office 365 域正确同步。

如果我只有一个 .local 本地域,该怎么办?

可用于将 Active Directory 同步到 Azure Active Directory 的最新工具名为 Azure AD Connect。有关详细信息,请参阅将你的本地标识与 Azure Active Directory 集成

Azure AD Connect 同步用户的 UPN 和密码,使他们能够使用在本地所用的同一凭据进行登录。但是,Azure AD Connect 仅可将用户同步到已经过 Office 365 验证的域。这意味着该域已经过 Azure Active Directory 验证,因为 Office 365 标识是由 Azure Active Directory 管理的。换言之,域必须具备有效的 Internet 域(如 .com、.org、.net、.us 等)。如果你的内部 Active Directory 仅使用不可路由的域(例如 .local),这可能无法匹配 Office 365 上已经过验证的域。可通过在你的本地 Active Directory 中更改主域,或添加一个或多个 UPN 后缀来修复此问题。

更改你的主域

将主域更改为已在 Office 365 中经过验证的域,例如 contoso.com。然后将具有域 contoso.local 的每位用户更新为 contoso.com。有关说明,请参阅 How Domain Rename Works(域重命名的工作原理)。但是,这是一个牵涉甚广的过程,因此更简单的解决方案是添加 UPN 后缀,如下一部分中所述。

添加 UPN 后缀并将用户更新为这些后缀

可以通过在 Active Directory 中注册新的 UPN 后缀解决 .local 问题,以匹配已在 Office 365 中经过验证的域。注册新的后缀后,需要更新用户 UPN 以使用新的域名替换 .local,例如,用户帐户应与 billa@contoso.com 相类似。

更新 UPN 以使用经过验证的域后,就可以准备将本地 Active Directory 与 Office 365 进行同步。

步骤 1:添加新的 UPN 后缀

  1. 在运行 Active Directory 域服务 (AD DS) 的服务器上,在“服务器管理器”中选择“工具”>“Active Directory 域和信任”。

    或者,如果你没有 Windows Server 2012   

    请按“Windows 键 + R”打开“运行”对话框,键入 Domain.msc,然后选择“确定”。

    选择“Active Directory 域和信任关系”。
  2. 在“Active Directory 域和信任”窗口中,右键单击“Active Directory 域和信任”,然后选择“属性”。

    右键单击“ActiveDirectory 域和信任关系”并选择“属性”
  3. 在“UPN 后缀”选项卡上,在“备用 UPN 后缀”框中,键入新的 UPN 后缀,然后选择“添加”>“应用”。

    添加新的 UPN 后缀

    添加后缀完成后,请选择“确定”。

步骤 2:更改现有用户的 UPN 后缀

  1. 在运行 Active Directory 域服务 (AD DS) 的服务器上,在“服务器管理器”中选择“工具”>“Active Directory Active Directory 用户和计算机”。

    或者,如果你没有 Windows Server 2012   

    请按“Windows 键 + R”打开“运行”对话框,键入 Dsa.msc,然后单击“确定”。

  2. 选中用户,右键单击该用户并选择“属性”。

  3. 在“帐户”选项卡上的“UPN 后缀”下拉列表中,选择新的 UPN 后缀,然后选择“确定”。

    为用户添加新的 UPN 后缀
  4. 为每位用户完成这些步骤。

    或者,你可以使用 PowerShell 批量更新 UPN 后缀。

也可以使用 Windows PowerShell 更改所有用户的 UPN 后缀

如果你有大量需要更新的用户,使用 Windows PowerShell 会更轻松一些。以下示例使用 Get-ADUserSet-ADUser cmdlet 将所有 contoso.local 后缀更改为 contoso.com。

请参阅 Active Directory Windows PowerShell 模块以了解如何在 Active Directory 中使用 Windows PowerShell。

  • 运行以下 Windows PowerShell 命令,将所有的 contoso.local 后缀更新为 contoso.com:

    $LocalUsers = Get-ADUser -Filter {UserPrincipalName -like '*contoso.local'} -Properties userPrincipalName -ResultSetSize $null
    $LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("contoso.local","contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×