我需要建立一个测试域来尝试修复已同步到 AAD 的帐户。我对 Azure AD 或 O365 没有任何经验,所以我不知道该怎么做。
以前的管理员设置了我们公司的 O365 帐户并设置了 AD Connect,显然从未阅读或测试过。这里的 AD 一团糟。
我是第四个接手这个烂摊子的人。所有前任管理员都对正确的 AD 结构以及组和组策略的最佳实践有自己的想法。我花了一年多的时间解决问题,更换了几个 DC,并清理了过去 DC 的鬼影。我们在 6 个月内没有遇到任何复制问题,因此我对继续尝试让 O365 正常工作充满信心。
======================= 问题:已同步的帐户有[电子邮件保护]姓名,不允许我们登录 O365。唯一有效的帐户是使用他们的电子邮件地址在云中创建的。
我的计划:设置一个新的 DC(Hyper-V)允许它进行复制。关闭 DC 并清理 AD,这样就不会留下任何幽灵。将 DC 置于隔离网络中。设置试用 O365 帐户。将 AD 同步到试用帐户。尝试修复我们在生产域中遇到的问题。
======================
这就是我的疑问所在。
我需要允许这个测试域访问互联网和O365。
我是否能够设置试用 O365 帐户并设置 AD 连接以像生产域一样同步?
我是否能够设置混合 Exchange 环境来测试将邮箱移动到云中?
IDfix 工具提示我需要修复 ProxyAddresses。我应该将其设置为用户的 SamAccountNames 还是电子邮件地址?
我可能遗漏了很多内容。请告诉我我遗漏了什么以及我需要查找哪些内容。
谢谢你的帮助!dot19408
答案1
这是一般指导。您可能需要有 Office 365 迁移经验的人来查看您的情况,以便为您提供具体指导。
不要将这些问题混为一谈。修复 AD 和迁移到 Office 365 是两个不同的问题,两者不会相互影响。请按照 IDFix 建议修复您的代理地址。
问题:已同步的账户有[电子邮件保护]姓名,不允许我们登录 O365。唯一有效的帐户是使用他们的电子邮件地址在云中创建的。
company.local
不是 Office 365 中已验证的域,无法将其添加为 Office 365 中的已验证域。只有“可路由”域才能在 Office 365 中进行验证。您需要在 AD 中创建备用 UPN 后缀以匹配 Office 365 中已验证的域(您在 Office 365 中使用的公共域 - 您已为云用户设置的域)。您需要配置本地 AD 用户帐户以使用此 UPN 后缀。
一旦安装 Azure AD Connect,您的本地用户将与现有的 Office 365 用户合并。
答案2
通过“域和信任”向 AD 添加缺失的后缀,纠正本地 AD 中的用户 UPN。
接下来,通过在 AADC 服务器上打开 Powershell 并输入“Start-ADSyncSyncCycle -PolicyType Initial”来强制从 Azure AD Connect (AADC) 进行完全同步。
这应该可以解决您提到的很多问题。如果您想进一步排除故障,请使用您的 O365 管理员帐户登录 portal.azure.com,然后转到 Azure AD - AD Connect 并打开运行状况概览,IDFIX 也是一个很好的修复问题的工具(旨在在第一次同步之前使用以防止此类问题)。
希望这有帮助!
答案3
我认为您不需要设置新的 DC。您只需要更改 UPN 以匹配您在 Office 365 中验证的域。您可以参考以下文章:Office 365 – 为什么您的 UPN 应该与您的主 SMTP 地址匹配 https://blogs.perficient.com/2015/07/07/office-365-why-your-upn-should-match-your-primary-smtp-address/
“我需要允许这个测试域访问互联网和 O365。” 您添加到 Office 365 的域必须是您自己的,不能是测试域。
您可以在本地 AD 中为测试帐户创建一个 OU,并选择仅在 AAD 连接中同步此 OU。
是否部署混合取决于您的需求。完全混合 Office 365 Exchange 部署的优缺点 http://www.coyotecrk.com/pros-cons-full-hybrid-office-365-exchange-deployment/
此外,您还可以使用Microsoft Exchange Server 部署助手进行配置: https://technet.microsoft.com/en-us/office/dn756393.aspx