單森林父子域通過AAD Connect同步到Office365

之前的Office365系列文章都是以一種簡單的本地基礎架構的形式進行構建，最近有一客戶本地AD比較復雜，有1個根域9個子域，每個子域對應一個子公司。

最近因為運維成本在考慮整個集團公司郵件和Skype業(yè)務上云，首先需要解決的問題就是用戶賬號的問題：

每個公司使用的的域名都不一樣，如何統(tǒng)一將整個森林中的用戶全部遷移到Office365中去！

接下來我做了一個模擬環(huán)境的實驗，通過查詢AAD Connect是支持父子域進行同步的。先看下我的實驗環(huán)境：

根域名字叫：contoso.com

子域名字分別為：and-sc.contoso.com和scnbwy.contoso.com

在根域上新建了兩個UPN地址作為模擬兩家子公司的域名and-sc.com和scnbwy.com

然后回到and-sc這個子域中新建一個OU并創(chuàng)建一個名為andsc的用戶，更改用戶UPN地址為andsc@and-sc.com

同樣在scnbwy子域中新建一個OU并創(chuàng)建一個名為scnbwy的用戶，更改用戶的UPN地址為scnbwy@scnbwy.com

接下來需要在Office365中添加and-sc.com和scnbwy.com這兩個域名

然后我們新建一臺AAD Connect服務器加入contoso.com根域

在AAD Connect服務器上安裝AAD Connect

測試環(huán)境就簡單一點選擇啟用密碼同步，生產(chǎn)環(huán)境可以根據(jù)實際需求進行選擇用戶登錄方式

輸入Office365全局管理員賬號密碼（可以是國際版也可以是中國版，取決于你的客戶最終購買的Office365版本）

然后AAD會檢測處本地的AD林，點擊添加目錄

需要輸入當前AD林賬號密碼進行驗證

驗證通過后即可將contoso.com林添加

接下來會對整個目錄進行架構檢索

通過匹配發(fā)現(xiàn)本地添加的scnbwy.com和and-sc.com這兩個域名是符合條件的，默認域名在本地是一個私有域名，公網(wǎng)上不一定能注冊到這個域名，所以一定要勾選“繼續(xù)但步匹配已驗證域的所有UPN后綴”

接下來就是同步OU了，這里我們分別在and-sc.com和scnbwy.com兩個目錄下選擇我們創(chuàng)建的OU進行同步

然后進行下一步的配置

更新默認的單林單域的同步規(guī)則

配置完成開同步

同步完成后打開同步日志進行檢測，每一個動作都進行了兩次，分別對應的是and-sc和scnbwy這兩個子域

然后登錄Office365 admin center就可以看到已經(jīng)將在本地創(chuàng)建的用戶同步到Azure AD中了，接下來分配許可即可使用Office365云服務，當然也可以進行后續(xù)的如Exchange Hybrid，Skype for business Hybrid