Vorbereiten einer nicht routingfähigen Domäne für die Verzeichnissynchronisierung

  • Artikel

Wenn Sie Ihr lokales Verzeichnis mit Microsoft 365 synchronisieren, müssen Sie über eine verifizierte Domäne in Microsoft Entra ID verfügen. Nur die Benutzerprinzipalnamen (User Principal Names, UPNs), die der domäne lokales Active Directory Domain Services (AD DS) zugeordnet sind, werden synchronisiert. Jeder UPN, der eine nicht routingfähige Domäne enthält, z. B. ".local" (Beispiel: billa@contoso.local), wird jedoch mit einer .onmicrosoft.com-Domäne synchronisiert (Beispiel: billa@contoso.onmicrosoft.com).

Wenn Sie derzeit eine ".local"-Domäne für Ihre Benutzerkonten in AD DS verwenden, empfiehlt es sich, diese so zu ändern, dass eine verifizierte Domäne verwendet wird. Beispiel: billa@contoso.com, um eine ordnungsgemäße Synchronisierung mit Ihrer Microsoft 365-Domäne zu gewährleisten.

Was geschieht, wenn ich nur über eine lokale Domäne ".local" verfüge?

Sie verwenden Microsoft Entra Connect, um Ihre AD DS mit dem Microsoft Entra Mandanten Ihres Microsoft 365-Mandanten zu synchronisieren. Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Identitäten in Microsoft Entra-ID.

Microsoft Entra Connect synchronisiert den UPN und das Kennwort Ihrer Benutzer, sodass sich Benutzer mit denselben Anmeldeinformationen anmelden können, die sie lokal verwenden. Microsoft Entra Connect synchronisiert benutzer jedoch nur mit Domänen, die von Microsoft 365 überprüft werden. Microsoft Entra ID überprüft die Domäne, da sie Microsoft 365-Identitäten verwaltet. Anders ausgedrückt: Die Domäne muss eine gültige Internetdomäne sein (z. B. .com, .org, .NET, .us). Wenn Ihr interner AD DS nur eine nicht routingfähige Domäne verwendet (z. B. ".local"), kann dies möglicherweise nicht mit der überprüften Domäne übereinstimmen, die Sie für Ihren Microsoft 365-Mandanten haben. Sie können dieses Problem beheben, indem Sie entweder Ihre primäre Domäne in Ihrer lokalen AD DS-Instanz ändern oder ein oder mehrere UPN-Suffixe hinzufügen.

Ändern Der primären Domäne

Ändern Sie Ihre primäre Domäne in eine Domäne, die Sie in Microsoft 365 überprüft haben, z. B. contoso.com. Jeder Benutzer mit der Domäne "contoso.local" wird dann auf contoso.com aktualisiert. Dies ist jedoch ein beteiligter Prozess, und eine einfachere Lösung wird im folgenden Abschnitt beschrieben.

Hinzufügen von UPN-Suffixen und Aktualisieren ihrer Benutzer

Sie können das Problem ".local" lösen, indem Sie neue UPN-Suffixe in AD DS registrieren, die mit der Domäne (oder den Domänen) übereinstimmen, die Sie in Microsoft 365 überprüft haben. Nachdem Sie das neue Suffix registriert haben, aktualisieren Sie die Benutzer-UPNs, um ".local" durch den neuen Domänennamen zu ersetzen, sodass ein Benutzerkonto wie billa@contoso.comfolgt aussieht.

Nachdem Sie die UPNs so aktualisiert haben, dass sie die überprüfte Domäne verwenden, können Sie Ihre lokale AD DS-Instanz mit Microsoft 365 synchronisieren.

Schritt 1: Hinzufügen des neuen UPN-Suffixs

  1. Wählen Sie auf dem AD DS-Domänencontroller im Server-Manager Tools>Active Directory-Domänen und -Vertrauensstellungen aus.

    Oder, wenn Sie nicht über Windows Server 2012

    Drücken Sie Windows-Taste +R , um das Dialogfeld Ausführen zu öffnen, geben Sie dann Domain.msc ein, und wählen Sie dann OK aus.

    Wählen Sie Active Directory-Domänen und -Vertrauensstellungen aus.

  2. Klicken Sie im Fenster Active Directory-Domänen und -Vertrauensstellungen mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und wählen Sie dann Eigenschaften aus.

    Klicken Sie mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, und wählen Sie Eigenschaften aus.

  3. Geben Sie auf der Registerkarte UPN-Suffixe im Feld Alternative UPN-Suffixe das neue UPN-Suffix oder die Suffixe ein, und wählen Sie dann Anwenden hinzufügen> aus.

    Fügen Sie ein neues UPN-Suffix hinzu.

    Wählen Sie OK aus, wenn Sie mit dem Hinzufügen von Suffixen fertig sind.

Schritt 2: Ändern des UPN-Suffixs für vorhandene Benutzer

  1. Wählen Sie auf dem AD DS-Domänencontroller im Server-Manager Extras>Active Directory-Benutzer und -Computer aus.

    Oder, wenn Sie nicht über Windows Server 2012

    Drücken Sie Windows-Taste +R, um das Dialogfeld Ausführen zu öffnen, geben Sie dann Dsa.msc ein, und wählen Sie dann OK aus.

  2. Wählen Sie einen Benutzer aus, klicken Sie mit der rechten Maustaste, und wählen Sie dann Eigenschaften aus.

  3. Wählen Sie auf der Registerkarte Konto in der Dropdownliste UPN-Suffix das neue UPN-Suffix und dann OK aus.

    Fügen Sie ein neues UPN-Suffix für einen Benutzer hinzu.

  4. Führen Sie diese Schritte für jeden Benutzer aus.

Verwenden von PowerShell zum Ändern des UPN-Suffixes für alle Benutzer

Wenn Sie über zahlreiche Benutzerkonten verfügen, die aktualisiert werden müssen, ist es einfacher, PowerShell zu verwenden. Im folgenden Beispiel werden die Cmdlets Get-ADUser und Set-ADUser verwendet, um alle contoso.local-Suffixe in contoso.com in AD DS zu ändern.

Sie können beispielsweise die folgenden PowerShell-Befehle ausführen, um alle contoso.local-Suffixe auf contoso.com zu aktualisieren:

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Weitere Informationen zur Verwendung von Windows PowerShell in AD DS finden Sie unter Active Directory Windows PowerShell Modul.