如何準備無法路由傳送的網域 (例如 .local 網域) 以用於目錄同步處理

當您將內部部署目錄與 Office 365 同步處理時,必須在 Azure Active Directory 中有一個通過驗證的網域。只有與內部部署網域相關聯的使用者主體名稱 (UPN) 會進行同步處理。不過,包含非可路由網域的任何 UPN,例如 .local (如 billa@contoso.local),將會同步處理至 .onmicrosoft.com 網域 (如 billa@contoso.onmicrosoft.com)。如果您目前在 Active Directory 中為您的使用者帳戶使用 .local 網域,建議您將這些帳戶變更為使用已通過驗證的網域 (如 billa@contoso.com),才能與您的 Office 365 網域正確地同步處理。

如果我只有 .local 內部部署網域,該怎麼辦?

您可以用來將您的 Active Directory 同步處理至 Azure Active Directory 的最新工具稱為 Azure AD Connect。如需詳細資訊,請參閱整合內部部署身分識別與 Azure Active Directory

Azure AD Connect 會同步處理您使用者的 UPN 和密碼,讓使用者可以使用他們用於內部部署的相同認證登入。不過,Azure AD Connect 只會將使用者同步處理至已通過 Office 365 驗證的網域。也就是說,此網域也會通過 Azure Active Directory 的驗證,因為 Office 365 身分識別是由 Azure Active Directory 所管理。換句話說,此網域必須是有效的網際網路網域 (例如 .com、.org、.net、.us 等)。如果您的內部 Active Directory 僅使用非可路由網域 (例如 .local),這可能不符合您在 Office 365 上擁有的已驗證網域。您可以藉由變更內部部署 Active Directory 中的主要網域,或新增一個或多個 UPN 尾碼來修正這個問題。

變更您的主要網域

將您的主要網域變更為您已經在 Office 365 中驗證過的網域,例如 contoso.com。接著,將擁有 contoso.local 網域的每個使用者更新為 contoso.com。如需相關指示,請參閱網域重新命名的運作方式。不過,這是非常相關的程序,而且比較簡單的解決方法就是新增 UPN 尾碼,如下節中所示。

新增 UPN 尾碼,並將您的使用者更新為這些 UPN 尾碼

您可以在 Active Directory 中註冊一個或多個新的 UPN 尾碼來比對您在 Office 365 中驗證的一個或多個網域,藉此解決 .local 問題。註冊新的尾碼之後,您要更新使用者 UPN,將 .local 取代成新的網域名稱,讓使用者帳戶看起來像 billa@contoso.com。

將 UPN 更新為使用通過驗證的網域之後,您就準備好將您的內部部署 Active Directory 與 Office 365 同步處理。

步驟 1:新增 UPN 尾碼

  1. 在執行 Active Directory 網域服務 (AD DS) 所在的伺服器上,選擇 [伺服器管理員] 中的 [工具] > [Active Directory 網域及信任]。

    或者,如果您沒有 Windows Server 2012   

    按下 Windows 鍵 + R 以開啟 [執行] 對話方塊並輸入 Domain.msc,然後選擇 [確定]。

    選擇 [Active Directory 網域及信任]。
  2. 在 [Active Directory 網域及信任] 視窗中,以滑鼠右鍵按一下 [Active Directory 網域及信任],然後選擇 [內容]。

    以滑鼠右鍵按一下 [Active Directory 網域及信任],然後選擇 [內容]
  3. 在 [UPN 尾碼] 索引標籤的 [替用的 UPN 尾碼] 方塊中,輸入一個或多個新的 UPN 尾碼,然後選擇 [新增] > [套用]。

    新增 UPN 尾碼

    新增尾碼完成後,選擇 [確定]。

步驟 2:變更現有使用者的 UPN 尾碼

  1. 在執行 Active Directory 網域服務 (AD DS) 所在的伺服器上,選擇 [伺服器管理員] 中的 [工具] > [Active Directory 使用者和電腦]。

    或者,如果您沒有 Windows Server 2012   

    按下 Windows 鍵 + R 以開啟 [執行] 對話方塊並輸入 Dsa.msc,然後按一下 [確定]。

  2. 選取使用者、按一下滑鼠右鍵,然後選擇 [內容]。

  3. 在 [帳戶] 索引標籤的 [UPN 尾碼] 下拉式清單中,選擇新的 UPN 尾碼,然後選擇 [確定]。

    新增使用者的新 UPN 尾碼
  4. 為每一個使用者完成這些步驟。

    或者,您可以使用 PowerShell 大量更新 UPN 尾碼。

您也可以使用 Windows PowerShell 變更所有使用者的 UPN 尾碼

如果您有大量要更新的使用者,使用 Windows PowerShell 比較容易。下列範例使用 Get-ADUserSet-ADUser Cmdlet,將所有 contoso.local 尾碼變更為 contoso.com。

若要深入了解如何在 Active Directory 中使用 Windows PowerShell,請參閱 Active Directory Windows PowerShell 模組

  • 執行下列 Windows PowerShell 命令,將所有 contoso.local 尾碼更新為 contoso.com︰

    $LocalUsers = Get-ADUser -Filter {UserPrincipalName -like '*contoso.local'} -Properties userPrincipalName -ResultSetSize $null
    $LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("contoso.local","contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×