Menyetel on-premise AD + pengguna yang sama di Exchange Online (+ Azure AD?)

0

Saya memiliki Windows Server 2012 R2 Foundation yang saya ingin menjadi DC bernama seperti office1.mycompany.orguntuk domain mycompany.org. Semua pengguna dalam domain itu harus dinamai seperti [email protected]dan menggunakan kredensial itu untuk mengakses server file dari pekerjaan mereka di LAN yang sama dengan DC. Bergabung dengan workstation ke domain tidak diperlukan.

Server tidak memiliki IP eksternal tetapi memiliki akses internet keluar. mycompany.orgnama domain terdaftar dengan AWS sehingga saya dapat mengubah catatan DNS yang saya butuhkan.

Langkah berikutnya yang saya rencanakan adalah membuat kotak surat untuk mereka menggunakan Exchange Online (atau sekarang Office 365?). Syaratnya adalah mereka menggunakan alamat yang sama dengan login mereka untuk domain dan kata sandi yang sama.

Jadi saya membaca banyak dokumen dan pertanyaan, tetapi saya masih bingung di mana harus memulai dan apa yang berhubungan dengan apa. Haruskah saya membuat domain baru di server saya dan kemudian menyinkronkannya? Jika demikian, sinkronkan dengan apa? Seperti yang saya pahami, membuat domain untuk kotak surat di Office 365 secara otomatis membuat Azure AD baru, jadi haruskah saya menyinkronkan AD lokal dengan direktori itu?

Saya juga mencoba membuat Azure AD dan kemudian menghubungkan server (saat itu masih tidak dipromosikan ke DC) ke sana menggunakan Azure AD Connect ('Gunakan akun layanan yang ada' - 'Akun layanan terkelola') menggunakan nama domain kustom mycompany.orgdan mycompany.onmicrosoft.com. Kedua opsi gagal (tidak dapat menyelesaikan data DNS LDAP, seperti yang saya lihat dan saya tidak dapat menemukan informasi apa yang harus ditunjukkan oleh catatan SRV ini).

Juga, keinginan saya (tetapi bukan keharusan) adalah saya dapat mengelola pengguna dan grup baik dari portal Azure dan server GUI.

Kucing Wolfrevo
sumber
Ini adalah konfigurasi standar dan ada banyak dokumen dari Microsoft tentang cara mengatur Office 365 dan Azure AD connect. Jawaban di bawah ini adalah langkah demi langkah yang baik, meskipun terlalu singkat untuk benar-benar memahami sistem - itulah sebabnya Anda perlu membaca dokumentasi yang tersedia. Anda tidak akan dapat mengelola pengguna dan grup hanya dari AD on-premise tanpa berlangganan premium Azure AD. Dan bahkan kemudian itu akan memerlukan beberapa skrip untuk menetapkan lisensi, dll.
Appleoddity

Jawaban:

4

Begini cara saya melakukannya:

  1. Siapkan domain di tempat
  2. Buat akun Office 365
  3. Dari halaman Admin Office 365, ketentuan Azure domain dan verifikasi kepemilikan domain
  4. Tambahkan pengaturan DNS yang disarankan ke DNS publik Anda.
  5. Buat pengguna di pengontrol domain lokal Anda
  6. Jika Anda menggunakan FQDN seperti MyDomain.local, tambahkan akhiran domain email Anda seperti MyDomain.com. Untuk setiap pengguna, ubah akhiran UPN ke MyDomain.com.
  7. Instal Azure AD Connect pada pengontrol domain lokal.
  8. Isi atribut pengguna ProxyAddresses dengan alamat email utama dan semua alias. Alamat utama haruslah SMTP : [email protected] dan semua alias harus smtp : [email protected]. Huruf besar SMTP menunjukkan alamat email utama.
  9. Paksa sinkronisasi menggunakan PowerShell (C: \ file program \ Microsoft Azure AD Sync> Start-ADSyncSyncCycle). Tidak wajib, tapi saya tidak suka menunggu.
  10. Tetapkan lisensi Office 365 untuk pengguna
  11. Masuk ke outlook.office365.com dengan akun pengguna seperti [email protected] dan uji email
Aaron D
sumber
Terima kasih. Ternyata itu jauh lebih simpel dari yang saya kira. Bisakah Anda jelaskan untuk apa bagian 8?
Wolfrevo Cats
Saya tidak bisa melihat tempat mengisi ProxyAddressesatribut. Tidak ada bidang untuk itu atau di snap-in "AD Users and Computers", atau di New-ADUsercmdlet (yang saya gunakan untuk membuat pengguna). Apakah atribut itu diperlukan jika pengguna hanya memiliki satu alamat email yang sama dengan nama masuk mereka?
Wolfrevo Cats
Office 365 secara otomatis akan menggunakan bidang ProxyAddresses untuk menentukan alamat email primer dan lainnya. Saya suka ini karena Anda dapat mengontrol semuanya dari Active Directory. Untuk melihat atribut untuk satu pengguna, Anda perlu Fitur Lanjutan diaktifkan di menu View. Jika Anda menggunakan cmdlet Impor-CSV dengan file CSV, Anda dapat mengimpor atribut ProxyAddresses.
Aaron D