我们有公司 A AD 林(林域 a.com)和公司 B AD 林(林域 b.com),它们通过林间信任链接在一起,并且每个都配备了本地 Exchange 2010 SP3。
我们计划使用多林 Azure AD Connect 将两个 Exchange Server 迁移到混合环境中的单个 Office 365 租户,以将两个 AD 同步到 Azure 中的不同目录中。
a.com 正在使用 [电子邮件保护]作为其 UPN。b.com
正在使用 [电子邮件保护]作为其 UPN。
现在,由于两家公司正在合并业务,我们正在探索 a.com 和 b.com 员工使用相同的 UPN c.com 登录[电子邮件保护]作为其 UPN。
我知道我可以在 a.com 和 b.com 林中添加 c.om 作为新 UPN,没有问题,但当涉及到 AADC 时,情况就不同了。
当运行 AADC 时,我不确定它是否可以越过这个屏幕?
这有完全支持吗?
提前致谢。
答案1
ADConnect 不关心 AD UPN,只关心它是否能与 Azure AD UPN 正确匹配;因此,如果您有不可路由的 UPN 后缀(例如“@domain.local”),ADconnect 将向您发出警告;如果具有此类 UPN 后缀的用户帐户同步,则 Azure AD 用户将获得默认 UPN 后缀(“@yourname.onmicrosoft.com”),因为原始 UPN 将不可用。
如果您向 AD 林添加第三个 UPN 后缀,并且它可以正确匹配到 Azure AD UPN 后缀(即您在 Azure AD/Office 365 中验证的 DNS 域),那么这根本不是问题;只需记住在开始同步之前将用户的 UPN 设置为使用新的后缀。
此外,请注意重复的 UPN:如果您从多个林进行同步并且存在重复的 UPN,则会导致同步冲突。
附录:如果您在 AD 林之间迁移用户,或者由于他们实际上是相同的用户,您在不同的林中拥有重复的用户帐户,则需要采取额外步骤以便 ADConnect 正确匹配它们。
答案2
我认为主 SMTP 地址比 UPN 对您更重要。每个 Office 365 登录提示都会要求用户提供他们的电子邮件地址。这有点用词不当。提示真正要求的是用户的 Office 365 UPN,但假设它与用户的主 SMTP 地址相同。如果您使用“通用”UPN,并且如果该 UPN 与用户的主 SMTP 地址不同,那么您的用户会感到困惑,当他们无法使用他们的电子邮件地址登录 Office 365 时,他们会致电您的支持部门……因为它与他们的 Office 365 UPN 不同。
因此... 在每个 AD 域中将您已验证的 Office 365 域添加为 UPN 后缀,并将其设置在用户帐户上。假设每个用户的 UPN 与其主 SMTP 地址匹配,则他们的 Office 365 UPN 将与他们的电子邮件地址匹配,这样您就可以避免 UPN 和主 SMTP 地址不同的问题。
我总是看到这个问题。用户的 Office 365 UPN 是 John.Doe@company A.com,但他们的主要 SMTP 地址是[电子邮件保护]。他们尝试以以下身份登录 Office 365[电子邮件保护]这当然行不通,因为他们的 Office 365 UPN 是[电子邮件保护]。
因此,让每个本地用户的 UPN 与其主 SMTP 地址匹配,然后将它们从本地 AD 同步到 Office 365/Azure AD。
