我们目前拥有 Azure 租户,其域为经过验证的“superiorproducts.com”。我们还有本地传统 AD 域“supprod.local”,其中包含 4 个域控制器。superiorproducts 公司旗下还拥有其他姊妹公司/子公司,但所有公司的所有计算机都通过 VPN 连接加入“supprod.local”域并由该域管理,通过 VPN 连接到“supprod.local”域。我们一直使用 Office365,并为所有公司托管 Exchange 电子邮件。然而,在 O365 和 Exchange 中,用户的用户 ID 和邮箱并不都使用相同的域,他们根据他们工作的公司使用域。
例如,Tommy 为 Superior Products 工作,Jimmy 为 Reliance Technologies 工作。虽然 Tommy 和 Jimmie 的计算机都加入了“supprod.local”域,并且都有域用户 supprod\tommy、supprod\jimmy,但 Tommy 在 O365 中的电子邮件地址和用户 ID 是[电子邮件保护]而 Jimmy 的是[电子邮件保护]。
因此 - 我开始首次尝试将我们的本地环境与 Azure AD/Entra ID 同步。我发现,为了同步,本地域必须是可路由的,并与 Azure 租户的域匹配(因此 supprod.local 不起作用)。我继续在 AD“superiorproducts.com”中创建了一个额外的 UPN 后缀,并将其应用于所有域用户。
我在我们的一个域控制器上安装了云同步/云连接并开始同步。令我惊恐的是,O365 中的每个电子邮件邮箱和用户都被 @superiorproducts.com 覆盖,这实际上破坏了每个不使用 @superiorproducts.com 邮箱的用户的每个邮箱。
我的问题是:
- 是否可以将这样的域与 Azure AD 同步?在这样的环境中,所有用户都为其用户和计算机对象共享相同的 .local 域,但在 O365 中,他们使用不同的域作为其电子邮箱?
- 如果可能的话,该如何处理这个问题,以及正确配置本地环境的要求是什么,以便在同步时,本地的身份不会覆盖每个用户的交换邮箱设置?
这有道理吗?如果我能进一步澄清一下情况,请告诉我。
先感谢您。
答案1
我继续在 AD“superiorproducts.com”中创建了一个额外的 UPN 后缀,并将其应用于所有域用户。
您的错误就在这里,您应该在示例中将 Reliance Technologie UPN 添加到 Jimmy,而不是 superiorproducts.com。
在线上它会起作用,因为您的租户已将这些域添加到其中。
这是我拥有的一个域名的示例,一个 .local 和两个具有不同电子邮件 DNS 的 UPN。
如果可能的话,该如何处理这个问题,以及正确配置本地环境的要求是什么,以便在同步时,本地的身份不会覆盖每个用户的交换邮箱设置?
要求是 reliancetechnologies.com 必须在 superiorproducts.com 所在的同一租户内有效。我编辑了该注释,因为在问题中似乎只有 superiorproducts.com 在租户内有效。