Quando si ha la necessità di sincronizzare una Directory AD locale con Azure AD, è necessario disporre di un dominio verificato in Azure Active Directory. Ma se per il dominio di Active Directory locale è stata utilizzata un’estensione non instradabile (per esempio, .local, .test, .internal, ecc.), la sincronizzazione avverrà con dominio.onmicrosoft.com.
Lo strumento che Microsoft mette a disposizione per effettuare la sincronizzazione di Active Directory con Azure Active Directory è denominato Azure AD Connect.
Azure AD Connect sincronizza l’UPN (User Principal Name) e la password degli utenti, in modo che questi possano accedere con le stesse credenziali che utilizzano in locale.
Tuttavia, Azure AD Connect sincronizza solo gli utenti nei domini verificati da Azure Active Directory. In altre parole, il dominio deve essere un dominio Internet valido (ad esempio, .com, .it, .org, .net, ecc.).
E’ possibile risolvere il problema modificando il dominio principale in Active Directory locale, oppure aggiungendo uno o più suffissi UPN.
Modificare il dominio principale è un processo molto oneroso e che potrebbe portare a disagi ed interruzioni dei servizi nell’infrastruttura di rete locale. La soluzione più semplice e rapida è quella descritta nelle sezioni seguenti.
Aggiungere suffissi UPN ed aggiornare gli utenti
E’ possibile risolvere il problema del .local registrando uno o più, nuovi suffissi UPN in Active Directory in modo che corrispondano al dominio (o ai domini) verificati in Azure Active Directory.
Dopo aver registrato il nuovo suffisso, è possibile aggiornare l’UPN degli utenti con il nuovo dominio, per fare in modo che gli account utenti passino da (per esempio) userA@contoso.local a userA@contoso.com.
Dopo aver aggiornato gli UPN degli utenti ad un dominio verificato, saremo pronti per la sincronizzazione di Active Directory locale con Azure Active Directory.
Come aggiungere un nuovo suffisso UPN
Sul server in cui è in esecuzione Active Directory Domain Services (AD DS), nel Server Manager scegliere Strumenti -> Domini e trust di Active Directory.
In alternativa, premere la combinazione di tasti Windows + R per aprire la finestra Esegui e digitare il comando Domain.msc e cliccare su OK.
Nella finestra Domini e trust di Active Directory fare clic con il pulsante destro del mouse su Domini e trust di Active Directory e scegliere proprietà.
Nella scheda Suffissi UPN alternativi, digitare il nuovo suffisso UPN e fare click su Aggiungi e successivamente su Applica.
Scegliere OK al termine dell’aggiunta dei suffissi.
Modificare il suffisso UPN per gli utenti esistenti
Sul server in cui è in esecuzione Active Directory Domain Services (AD DS), nel Server Manager scegliere Utenti e computer di Active Directory.
In alternativa, premere la combinazione di tasti Windows + R per aprire la finestra Esegui e digitare il comando dsa.msc e cliccare su OK.
Selezionare un utente, fare click con il pulsante destro del mouse e scegliere proprietà.
Nell’elenco a discesa suffisso UPN della scheda account, scegliere il nuovo suffisso UPN e quindi fare click su OK.
Completare questa procedura per ogni utente.
Utilizzare PowerShell per modificare il suffisso UPN per tutti gli utenti
Se si ha la necessità di aggiornare molti utenti, è più facile e rapido utilizzare Windows PowerShell. Nell’esempio seguente vengono utilizzati i cmdlet Get-ADUser e Set-ADUser per modificare tutti i suffissi contoso.local in contoso.com.
Aprire una shell di Windows PowerShell ed eseguire i seguenti comandi:
$LocalUsers = Get-ADUser -Filter {UserPrincipalName -like '*contoso.local'} -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("contoso.local","contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}
Conclusioni
Vedremo in un prossimo articolo come sincronizzare una Active Directory locale con Azure Active Directory.
Per ulteriori approfondimenti, ti consiglio di leggere questo documento tecnico pubblicato da Microsoft.
Come sempre, se hai apprezzato il contenuto di questo articolo, ti chiedo di condividerlo con i tuoi amici sui social network che frequenti e di farmi sapere nei commenti cosa ne pensi.
Lascia un commento