Příprava nesměrovatelné domény pro synchronizaci adresářů

  • Článek

Když synchronizujete místní adresář s Microsoftem 365, musíte mít ověřenou doménu v Microsoft Entra ID. Synchronizují se pouze hlavní názvy uživatelů (UPN), které jsou přidružené k doméně místní Active Directory Doménové služby (AD DS). Všechny hlavní názvy uživatele (UPN), které obsahují nesměrovatelnou doménu, například .local (příklad: billa@contoso.local), se synchronizují s doménou .onmicrosoft.com (příklad: billa@contoso.onmicrosoft.com).

Pokud pro uživatelské účty ve službě AD DS aktuálně používáte doménu .local, doporučujeme změnit je tak, aby používaly ověřenou doménu. Například billa@contoso.com, aby se správně synchronizovala s vaší doménou Microsoftu 365.

Co když mám jenom místní doménu .local?

K synchronizaci služby AD DS s Microsoft Entra tenantem vašeho tenanta Microsoftu 365 použijete Microsoft Entra Connect. Další informace najdete v tématu Integrace místních identit s ID Microsoft Entra.

Microsoft Entra Connect synchronizuje hlavní název uživatele (UPN) a heslo, aby se uživatelé mohli přihlásit pomocí stejných přihlašovacích údajů, které používají místně. Microsoft Entra Connect ale synchronizuje uživatele jenom s doménami ověřenými Microsoftem 365. Microsoft Entra ID ověřuje doménu, protože spravuje identity Microsoftu 365. Jinými slovy, doména musí být platná internetová doména (například .com, .org, .NET, .us). Pokud vaše interní služba AD DS používá jenom nesměrovatelnou doménu (například .local), nemůže se tato doména shodovat s ověřenou doménou, kterou máte pro svého tenanta Microsoftu 365. Tento problém můžete vyřešit změnou primární domény v místní službě AD DS nebo přidáním jedné nebo více přípon UPN.

Změna primární domény

Změňte primární doménu na doménu, kterou jste ověřili v Microsoftu 365, například contoso.com. Každý uživatel, který má doménu contoso.local, se pak aktualizuje na contoso.com. Jedná se však o související proces a jednodušší řešení je popsáno v následující části.

Přidání přípon UPN a jejich aktualizace pro uživatele

Problém s příponou .local můžete vyřešit registrací nové přípony UPN nebo přípon ve službě AD DS tak, aby odpovídaly doméně (nebo doménám), které jste ověřili v Microsoftu 365. Po registraci nové přípony aktualizujete hlavní názvy uživatelů uživatele tak, aby nahradily .local novým názvem domény, například tak, aby uživatelský účet vypadal takto billa@contoso.com: .

Po aktualizaci hlavních názvů uživatele (UPN) tak, aby používaly ověřenou doménu, jste připraveni synchronizovat místní službu AD DS s Microsoftem 365.

Krok 1: Přidání nové přípony UPN

  1. Na řadiči domény služby AD DS v Správce serveru zvolte Nástroje>Domény a vztahy důvěryhodnosti služby Active Directory.

    Nebo pokud nemáte Windows Server 2012

    Stisknutím kláves Windows + R otevřete dialogové okno Spustit , zadejte Domain.msc a pak zvolte OK.

    Zvolte Domény a vztahy důvěryhodnosti služby Active Directory.

  2. V okně Domény a vztahy důvěryhodnosti služby Active Directory klikněte pravým tlačítkem na Domény a vztahy důvěryhodnosti služby Active Directory a pak zvolte Vlastnosti.

    Klikněte pravým tlačítkem na Domény a vztahy důvěryhodnosti služby Active Directory a zvolte Vlastnosti.

  3. Na kartě Přípony UPN zadejte do pole Alternativní přípony UPN novou příponu nebo přípony UPN a pak zvolte Přidat>použít.

    Přidejte novou příponu UPN.

    Až budete s přidáváním přípon hotovi, zvolte OK .

Krok 2: Změna přípony UPN pro stávající uživatele

  1. Na řadiči domény služby AD DS v Správce serveru zvolte Nástroje>Uživatelé a počítače služby Active Directory.

    Nebo pokud nemáte Windows Server 2012

    Stisknutím kláves Windows + R otevřete dialogové okno Spustit, zadejte Dsa.msc a pak vyberte OK.

  2. Vyberte uživatele, klikněte pravým tlačítkem myši a pak zvolte Vlastnosti.

  3. Na kartě Účet v rozevíracím seznamu Přípona hlavního názvu uživatele (UPN) zvolte novou příponu UPN a pak zvolte OK.

    Přidání nové přípony UPN pro uživatele

  4. Tyto kroky proveďte pro každého uživatele.

Změna přípony hlavního názvu uživatele (UPN) pro všechny uživatele pomocí PowerShellu

Pokud máte k aktualizaci velké množství uživatelských účtů, je jednodušší použít PowerShell. Následující příklad používá rutiny Get-ADUser a Set-ADUser ke změně všech přípon contoso.local na contoso.com ve službě AD DS.

Spuštěním následujících příkazů PowerShellu můžete například aktualizovat všechny přípony contoso.local na contoso.com:

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Další informace o používání Windows PowerShell ve službě AD DS najdete v modulu Windows PowerShell služby Active Directory.