AAD Sync是我们的新目录同步工具,可简化将Azure AD连接到Windows Server AD的过程。使连接复杂的多林部署更加简单。

  • 现在可以将Active Directory和Exchange多林环境扩展到云中。

  • 根据所需的云服务控制对哪些属性参数进行同步。

  • 选择要通过域,OU等进行帐户的同步。

  • 通过映射属性并控制相关参数设置同步策略规则。

  • 预览AAD Premium并重置密码

首先,请确保您已卸载旧版本的DirSync。然后,要安装AADSync,您需要一台运行Windows Server操作系统的计算机。

  • Windows Server 2008

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

安装AAD Sync的目标计算机可以是独立计算机,成员服务器或域控制器。并且必须安装以下组件:

  • .NET 4.5

  • PowerShell(最好是PS3或更高版本)

注意:

该工具需要一个SQL Server实例来存储身份数据。默认情况下,将安装SQL Express LocalDB,并在安装过程中在本地计算机上创建服务的服务帐户。

由于Express有10GB的大小限制(它使您可以管理大约100.000个对象。)如果您期望管理更多的目录对象,则需要将安装过程指向 SQL Server DB版本。

安装和配置AADSync

1-从这里下载工具。

2-执行MicrosoftAzureADConnectionTool.exe。

3-转到“欢迎使用Azure AD Sync”对话框后,同意许可条款,然后单击“安装”。

4-一旦安装,该工具将启动(可能需要几秒钟),一旦您连接到Azure AD,请提供凭据以连接到Azure AD目录。在Azure的目录SysAdmin中使用了Global Admin。

5-和我们假设的一样,需要向“ 连接到AD DS”对话框提供本地目录林\域的凭据。然后单击“ 添加林 ”按钮,出现域名后。点击下一步。

6-在唯一标识用户中

6.1- 跨林匹配功能允许您定义如何在Azure AD中表示ADDS林中的用户。

一个用户可能在所有林中仅代表一次,或者具有已启用和已禁用帐户的组合

6.2-可以使用“ 与Azure AD匹配”选项来指定要用于身份联合的属性。sourceAnchor属性是在用户对象的生存期内不变的属性。在单一目录林和环境中,并且帐户永远不会在目录林之间移动,那么objectGUID是一个很好的选择。如果用户在目录林或域之间移动,则必须选择替代属性。

userPrincipalName属性是Azure AD中用户的登录ID。默认情况下,使用ADDS中的userPrincipalName属性。如果此属性不可路由或不适合作为登录ID,则可以在安装指南中选择其他属性(例如mail)。

单击下一步转到可选项

7-如果具有混合Exchange环境,则在“可选功能”对话框中,可以选择“ Exchange混合部署”。对于我们来说,我们不会启用此设置。密码回写是Azure Active Directory Premium功能。(我们没有在测试环境中启用它,因此我将其保留为选中状态),如果要查看或限制与Azure AD同步的属性,请选择Azure AD应用程序和属性筛选。然后,您将在向导中获得另外两个页面。

8-配置屏幕可开始配置过程。只需点击“ 配置 ”

它将连接并配置同步规则,并显示“ Finished ”屏幕。如果您单击“完成”后离开“立即同步”,它将开始同步过程

在此阶段退出Windows,然后重新登录。

找到并启动Azure AD同步同步服务。

打开连接器选项卡。请参阅AD域服务连接器。双击以查看属性。

导航到“配置目录分区”。选择“容器”。

输入您的凭据。

现在,可以选择您的OU。选择确定以关闭对话框。

选择运行=>选择“完全导入”。

查看成功导入到Azure。但是,这不是立即的,需要一些时间才能使用户在Azure中可用(我们也可以尝试强制进行同步)

以前,使用DirSync时,我们使用了“ start-onlinecoexistencesync”。现在已在AAD Sync中将其替换为“ DirectorySyncClientCmd.exe”。

导航到C:\ Program Files \ Microsoft Azure AD Sync \ Bin并启动DirectorySyncClientCmd.exe

最后,我们已经在Azure中同步了本地目录。

Azure 配置管理系列 AD Sync(PART2)