Azure AD Sync(PART1)
- 现在可以将Active Directory和Exchange多林环境扩展到云中。
- 根据所需的云服务控制对哪些属性参数进行同步。
- 选择要通过域,OU等进行帐户的同步。
- 通过映射属性并控制相关参数设置同步策略规则。
- 预览AAD Premium并重置密码
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- .NET 4.5
- PowerShell(最好是PS3或更高版本)
AAD Sync是我们的新目录同步工具,可简化将Azure AD连接到Windows Server AD的过程。使连接复杂的多林部署更加简单。
首先,请确保您已卸载旧版本的DirSync。然后,要安装AADSync,您需要一台运行Windows Server操作系统的计算机。
安装AAD Sync的目标计算机可以是独立计算机,成员服务器或域控制器。并且必须安装以下组件:
注意:
该工具需要一个SQL Server实例来存储身份数据。默认情况下,将安装SQL Express LocalDB,并在安装过程中在本地计算机上创建服务的服务帐户。
由于Express有10GB的大小限制(它使您可以管理大约100.000个对象。)如果您期望管理更多的目录对象,则需要将安装过程指向 SQL Server DB版本。
安装和配置AADSync
1-从这里下载工具。
2-执行MicrosoftAzureADConnectionTool.exe。
3-转到“欢迎使用Azure AD Sync”对话框后,同意许可条款,然后单击“安装”。
4-一旦安装,该工具将启动(可能需要几秒钟),一旦您连接到Azure AD,请提供凭据以连接到Azure AD目录。在Azure的目录SysAdmin中使用了Global Admin。
5-和我们假设的一样,需要向“ 连接到AD DS”对话框提供本地目录林域的凭据。然后单击“ 添加林 ”按钮,出现域名后。点击下一步。
6-在唯一标识用户中
6.1- 跨林匹配功能允许您定义如何在Azure AD中表示ADDS林中的用户。
一个用户可能在所有林中仅代表一次,或者具有已启用和已禁用帐户的组合
6.2-可以使用“ 与Azure AD匹配”选项来指定要用于身份联合的属性。sourceAnchor属性是在用户对象的生存期内不变的属性。在单一目录林和环境中,并且帐户永远不会在目录林之间移动,那么objectGUID是一个很好的选择。如果用户在目录林或域之间移动,则必须选择替代属性。
userPrincipalName属性是Azure AD中用户的登录ID。默认情况下,使用ADDS中的userPrincipalName属性。如果此属性不可路由或不适合作为登录ID,则可以在安装指南中选择其他属性(例如mail)。
单击下一步转到可选项
7-如果具有混合Exchange环境,则在“可选功能”对话框中,可以选择“ Exchange混合部署”。对于我们来说,我们不会启用此设置。密码回写是Azure Active Directory Premium功能。(我们没有在测试环境中启用它,因此我将其保留为选中状态),如果要查看或限制与Azure AD同步的属性,请选择Azure AD应用程序和属性筛选。然后,您将在向导中获得另外两个页面。
8-配置屏幕可开始配置过程。只需点击“ 配置 ”
它将连接并配置同步规则,并显示“ Finished ”屏幕。如果您单击“完成”后离开“立即同步”,它将开始同步过程
在此阶段退出Windows,然后重新登录。
找到并启动Azure AD同步同步服务。
打开连接器选项卡。请参阅AD域服务连接器。双击以查看属性。
导航到“配置目录分区”。选择“容器”。
输入您的凭据。
现在,可以选择您的OU。选择确定以关闭对话框。
选择运行=>选择“完全导入”。
查看成功导入到Azure。但是,这不是立即的,需要一些时间才能使用户在Azure中可用(我们也可以尝试强制进行同步)。
以前,使用DirSync时,我们使用了“ start-onlinecoexistencesync”。现在已在AAD Sync中将其替换为“ DirectorySyncClientCmd.exe”。
导航到C: Program Files Microsoft Azure AD Sync Bin并启动DirectorySyncClientCmd.exe
最后,我们已经在Azure中同步了本地目录。
Azure 配置管理系列 AD Sync(PART2)