Подготовка немаршрутизируемого домена к синхронизации службы каталоговPrepare a non-routable domain for directory synchronization

При синхронизации локального каталога с Microsoft 365 необходимо иметь проверенный домен в Azure Active Directory (Azure AD).When you synchronize your on-premises directory with Microsoft 365, you have to have a verified domain in Azure Active Directory (Azure AD). Синхронизируются только основные имена пользователей (UPNs), связанные с доменом Active Directory Domain Services (AD DS).Only the User Principal Names (UPNs) that are associated with the on-premises Active Directory Domain Services (AD DS) domain are synchronized. Однако любой домен upN, содержащий домен, который не является маршрутизируемым, например ".local" (пример: billa@contoso.local), будет синхронизирован с доменом .onmicrosoft.com (пример: billa@contoso.onmicrosoft.com).However, any UPN that contains a non-routable domain, such as ".local" (example: billa@contoso.local), will be synchronized to an .onmicrosoft.com domain (example: billa@contoso.onmicrosoft.com).

Если в настоящее время используется домен ".local" для учетных записей пользователей в AD DS, рекомендуется изменить их на использование проверенного домена, например billa@contoso.com, для правильной синхронизации с доменом Microsoft 365.If you currently use a ".local" domain for your user accounts in AD DS, it's recommended that you change them to use a verified domain, such as billa@contoso.com, in order to properly synchronize with your Microsoft 365 domain.

Что делать, если у меня есть только локальный домен ".local"?What if I only have a ".local" on-premises domain?

Вы используете Azure AD Connect для синхронизации AD DS с клиентом Azure AD клиента Microsoft 365.You use Azure AD Connect for synchronizing your AD DS to the Azure AD tenant of your Microsoft 365 tenant. Дополнительные сведения см. в сайте Интеграция идентификаторов локальной системы с Azure AD.For more information, see Integrating your on-premises identities with Azure AD.

Azure AD Connect синхронизирует upN и пароль пользователей, чтобы пользователи могли войти с одинаковыми учетными данными, которые они используют на месте.Azure AD Connect synchronizes your users' UPN and password so that users can sign in with the same credentials they use on-premises. Однако Azure AD Connect синхронизирует пользователей только с доменами, проверенными Microsoft 365.However, Azure AD Connect only synchronizes users to domains that are verified by Microsoft 365. Это означает, что домен также проверяется Azure AD, так как идентификаторы Microsoft 365 управляются Azure AD.This means that the domain also is verified by Azure AD because Microsoft 365 identities are managed by Azure AD. Другими словами, домен должен быть допустимым доменом Интернета (например, .com, .org, .net, .us).In other words, the domain has to be a valid Internet domain (such as, .com, .org, .net, .us). Если во внутренней службе AD DS используется только нена маршрутируемый домен (например, ".local"), это не может совпадать с проверенным доменом, который у вас есть для клиента Microsoft 365.If your internal AD DS only uses a non-routable domain (for example, ".local"), this can't possibly match the verified domain you have for your Microsoft 365 tenant. Эту проблему можно устранить, изменив основной домен в локальной AD DS или добавив один или несколько суффиксов upN.You can fix this issue by either changing your primary domain in your on-premises AD DS, or by adding one or more UPN suffixes.

Изменение основного доменаChange your primary domain

Измените основной домен на проверенный в Microsoft 365 домен, например contoso.com.Change your primary domain to a domain you have verified in Microsoft 365, for example, contoso.com. Каждый пользователь с доменом contoso.local обновляется до contoso.com.Every user that has the domain contoso.local is then updated to contoso.com. Однако это очень сложный процесс, и более простое решение описано в следующем разделе.This is a very involved process, however, and an easier solution is described in the following section.

Добавление суффиксов upN и обновление пользователей к нимAdd UPN suffixes and update your users to them

Проблему ".local" можно решить, зарегистрировав в AD DS новый суффикс или суффиксы upN, чтобы соответствовать домену (или доменам), проверенным в Microsoft 365.You can solve the ".local" problem by registering new UPN suffix or suffixes in AD DS to match the domain (or domains) you verified in Microsoft 365. После регистрации нового суффикса обновляются пользовательские ИБН, чтобы заменить ".local" новым доменным именем, например, чтобы учетная запись пользователя выглядела как billa@contoso.com.After you register the new suffix, you update the user UPNs to replace the ".local" with the new domain name, for example, so that a user account looks like billa@contoso.com.

После обновления upNs для использования проверенного домена вы готовы синхронизировать локальное AD DS с Microsoft 365.After you have updated the UPNs to use the verified domain, you are ready to synchronize your on-premises AD DS with Microsoft 365.

Шаг 1. Добавление нового суффикса upN**Step 1: Add the new UPN suffix**

  1. На контроллере домена AD DS в диспетчере серверов выберите Средства > Active Directory Domains и Trusts.On the AD DS domain controller, in the Server Manager choose Tools > Active Directory Domains and Trusts.

    Или, если у вас нет Windows Server 2012Or, if you don't have Windows Server 2012

    Нажмите клавишу Windows + R, чтобы открыть диалоговое окно Run, а затем введите домен.msc, а затем выберите ОК.Press Windows key + R to open the Run dialog, and then type in Domain.msc, and then choose OK.

    Выберите домены Active Directory и трасты.

  2. В окне Active Directory Domains and Trusts щелкните правой кнопкой мыши Active Directory Domains and Trusts и выберите свойства.In the Active Directory Domains and Trusts window, right-click Active Directory Domains and Trusts, and then choose Properties.

    Щелкните правой кнопкой мыши Домены и трасты Active Directory и выберите свойства

  3. На вкладке UpN Suffixes в поле Альтернативные Суффиксы UPN введите новый суффикс или суффиксЫ upN, а затем выберите Добавить > Применить.On the UPN Suffixes tab, in the Alternative UPN Suffixes box, type your new UPN suffix or suffixes, and then choose Add > Apply.

    Добавление нового суффикса upN

    Выберите ОК, когда вы закончили добавление суффиксов.Choose OK when you're done adding suffixes.

Шаг 2. Изменение суффикса UPN для существующих пользователейStep 2: Change the UPN suffix for existing users

  1. На контроллере домена AD DS в диспетчере серверов выберите средства > Active Directory Users and Computers.On the AD DS domain controller, in the Server Manager choose Tools > Active Directory Users and Computers.

    Или, если у вас нет Windows Server 2012Or, if you don't have Windows Server 2012

    Нажмите клавишу Windows + R, чтобы открыть диалоговое окно Run, а затем введите в Dsa.msc и нажмите кнопку ОКPress Windows key + R to open the Run dialog, and then type in Dsa.msc, and then click OK

  2. Выберите пользователя правой кнопкой мыши и выберите Свойства.Select a user, right-click, and then choose Properties.

  3. На вкладке Учетная запись в списке суффикса upN выберите новый суффикс upN, а затем выберите ОК.On the Account tab, in the UPN suffix drop-down list, choose the new UPN suffix, and then choose OK.

    Добавление нового суффикса upN для пользователя

  4. Выполните эти действия для каждого пользователя.Complete these steps for every user.

Использование PowerShell для изменения суффикса UPN для всех пользователейUse PowerShell to change the UPN suffix for all of your users

Если у вас много учетных записей пользователей для обновления, проще использовать PowerShell.If you have a lot of user accounts to update, it's easier to use PowerShell. В следующем примере для изменения всех суффиксов contoso.local на contoso.com AD DS используются cmdlets Get-ADUser и Set-ADUser.The following example uses the cmdlets Get-ADUser and Set-ADUser to change all contoso.local suffixes to contoso.com in AD DS.

Например, можно выполнить следующие команды PowerShell, чтобы обновить все суффиксы contoso.local до contoso.com:For example, you could run the following PowerShell commands to update all contoso.local suffixes to contoso.com:

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Дополнительные Windows PowerShell active Directory см. в Windows PowerShell AD DS.See Active Directory Windows PowerShell module to learn more about using Windows PowerShell in AD DS.