سيد Azure AD Connect: جدولة المزامنة والإجبار

الدروس التعليمية
PowerShell

دمج خدمات مجال النشاط (AD) الخاصة بك في موقعك Active Directory (والمزامنة) مع Azure AD يتم باستخدام واجهة مستخدم Synchronization Service Manager أو عبر PowerShell.

هناك طريقتان لاستخدام Azure AD في الموقع – المصادقة عبر المرور (ترسل طلب المصادقة مباشرة إلى Azure AD) أو مزامنة الدليل التي تقوم بمزامنة تجزئة كلمات المرور بين AD المحلي و Azure AD. في هذه المقالة، سنغطي كيفية إعداد برنامج Azure Active Directory Connect لمزامنة تجزئة كلمات المرور.

سنتناول كيفية تشغيل مزامنة متكررة وأيضًا كيفية استخدام Azure AD Connect لفرض مزامنة تجزئة كلمات المرور.

باختصار، يتطلب إجبار Azure AD على المزامنة باستخدام PowerShell الخطوات التالية:

  1. تثبيت Azure Active Directory Connect
  2. استيراد وحدة الطاقة PowerShell ADSync
  3. تشغيل cmdlet Start-AdSyncSchedule الذي يقرأ تجزئة كلمات مرور مركز تحكم النطاق ويقوم بالمزامنة مع Azure AD.

إذا كنت تفضل التعلم عبر الفيديو، تأكد من مشاهدة هذا الفيديو الإرشادي من TechSnips.

تثبيت Azure AD Connect

لمزامنة Active Directory الخاص بالمؤسسة على النطاق المحلي مع مستأجر Azure AD، ستحتاج أولاً إلى تنزيل وتثبيت برنامج Azure AD Connect. للقيام بذلك، لديك خياران. يمكنك إما تنزيله من بوابة Azure أو من خلال الانتقال مباشرة إلى حزمة البرنامج.

التنزيل من بوابة Azure

إذا قررت عدم تنزيل الحزمة من موقع Microsoft، ستحتاج إلى الحصول على الحزمة من بوابة Azure.

ابحث عن “Azure Active Directory” في البوابة. في قسم Azure Active Directory، انقر فوق Azure AD Connect. ستجد هنا قسمًا يسمى حالة المزامنة مع رابط إلى تنزيل Azure AD Connect.

Azure Portal – Azure AD Connect

أدوات المزامنة

عند تثبيت Azure AD Connect، سيتم تثبيت أداةين رئيسيتين يمكنك استخدامهما لجدولة مزامنة أو إجبار المزامنة.

  • وحدة PowerShell ADSync
  • مدير خدمة المزامنة

من خلال استخدام هاتين الأداتين، يمكنك إعداد مزامنة متكررة (مجدولة) لأداء مزامنة Azure AD بشكل دوري. أو يمكنك استخدام أحدهما لإجبار المزامنة عند الحاجة. تؤدي كلا الأداةين نفس السلوك. الفرق الوحيد هو أن الأولى عبر سطر الأوامر (PowerShell) والثانية هي تطبيق GUI.

إعداد وحدة PowerShell ADSync

عند تثبيت Azure AD Connect، ستقوم بتثبيت وحدة PowerShell تسمى ADSync. تحتوي هذه الوحدة على أوامر تتيح لك إدارة عملية المزامنة باستخدام PowerShell.

ألاحظ أنني في هذا المقال أستخدم Windows PowerShell 5.1. قد تختلف النتائج إذا كنت تستخدم إصدارًا أقدم.

كما هو الحال مع جميع وحدات PowerShell، فإن استيراد الوحدة سهل. ومع ذلك، تكون الوحدة غير موجودة في مجلدات وحدات Windows PowerShell المعروفة. يتم تثبيت وحدة PowerShell في المجلد C:\Program Files\Microsoft Azure AD Connect Sync\Bin.

لاستيراد الوحدة، افتح نافذة التحكم في PowerShell وأدخل الأمر التالي:

PS51> Import-Module –Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -Verbose

للتحقق من أن الوحدة قد تم استيرادها، استخدم Get-Module. يجب أن تظهر وحدة ADSync في القائمة.

ADSync PowerShell Module

الجدول الزمني الافتراضي لمزامنة Azure AD

افتراضيًا، يقوم Azure AD Connect بإنشاء مهمة مجدولة تقوم بتشغيل مزامنة (تزامن الكائنات المختلفة فقط) كل 30 دقيقة. يمكنك العثور على الجدول الزمني عن طريق فتح Task Scheduler. يجب أن تلاحظ وجود مهمة مجدولة تحت Microsoft –> Windows تسمى Azure AD Sync Scheduler.

Azure AD Sync Scheduler scheduled task

يمكنك تغيير هذا الجدول الزمني، ولكن تذكر أن 30 دقيقة هي الفاصل الزمني الأدنى المدعوم. الهدف هو تعيين فاصل زمني للمزامنة بحيث تحدث بشكل كاف لالتقاط التغييرات. إذا كانت المزامنة قصيرة جدًا، يمكن أن تتسبب في إشباع الشبكة الخاصة بك.

يدير المجدول مهمتين:

  • دورة المزامنة – العملية لاستيراد، وتزامن، وتصدير التغييرات.
  • مهام الصيانة – تجديد المفاتيح والشهادات لإعادة تعيين كلمة المرور وخدمة تسجيل الجهاز (DRS). كما يقوم بتطهير الإدخالات القديمة في سجل العمليات.

الجدول الزمني نفسه دائمًا يعمل ولكن يمكن تكوينه لتشغيل مهمة واحدة فقط أو لا شيء من هذه المهام.

فرض تزامن Azure AD Connect

قد تكون هناك أوقات تحتاج فيها إلى فرض تزامن كائناتك. على سبيل المثال، إذا كنت بحاجة إلى إجراء دورة تزامن خاصة بك، يمكنك تعطيل هذه المهمة في الجدول الزمني ولكن لا تزال تقوم بتشغيل مهمة الصيانة.

لاستخدام Azure Active Directory Connect لفرض تزامن كلمة المرور ومعلومات أخرى، يمكنك استخدام إما مدير خدمة التزامن أو PowerShell.

فرض تزامن باستخدام مدير خدمة التزامن

على خادم به Azure AD Connect مثبت، انتقل إلى قائمة “ابدأ” وحدد AD Connect، ثم خدمة التزامن.

بالنظر الأول قد يبدو الأمر مرهقًا، ولكنك معني فقط بعلامة التبويب الموصلات ولوحة التحديد اليمنى. من خلال النظر إلى لوحة التحديد اليمنى، يمكنك رؤية خيارات لإيقاف (إيقاف) وبدء (تشغيل) التزامن.

Synchronization Service Manager

لاحظ أنه أثناء تشغيل دورة المزامنة، لا يمكنك إجراء تغييرات في الإعدادات. إيقاف الدورة الحالية ليس ضارًا ويتم معالجة التغييرات المعلقة في التشغيل التالي.

الحصول على حالة المزامنة باستخدام PowerShell

قبل أن تجبر على المزامنة، فإنه من الفكرة الجيدة أن تحصل على حالة الدورة الحالية للمزامنة. إذا قمت بفرض المزامنة أثناء تشغيل المزامنة حاليًا، فقد تتعرض لبعض المشكلات في وقت لاحق.

لرؤية الإعدادات الحالية، قم بفتح نافذة PowerShell على الخادم الذي تم تثبيت خدمة Azure Active Directory Connect عليه وقم بتشغيل Get-ADSyncScheduler. سترى بعض الخصائص التي تقدم معلومات مفيدة.

Get-AdSyncScheduler

هناك الكثير من المعلومات لفحصها. دعونا نتنقل خطوة بخطوة:

  • AllowedSyncCycleInterval – هذا هو أقصر وقت بين عمليات المزامنة. بشكل افتراضي، يتم تعيينه على 30 دقيقة، وهو أقصر وقت مسموح به.
  • CurrentlyEffectiveSyncCycleIntervalالجدول الزمني الذي يعمل حاليًا. يكون لديه نفس قيمة CustomizedSyncInterval (إذا تم تعيينه) إذا كان لا يزيد عن AllowedSyncInterval. إذا استخدمت إصدارًا قبل 1.1.281 وقمت بتغيير CustomizedSyncCycleInterval، يتم تنفيذ هذا التغيير بعد الدورة التالية للمزامنة. اعتبارًا من الإصدار 1.1.281، يتم تنفيذ التغيير فورًا.
  • CustomizedSyncCycleIntervalيتم تعيين هذا إذا كنت ترغب في تشغيل المجدول ليعمل بتردد مختلف عن الافتراضي البالغ 30 دقيقة.
  • نوع_سياسة_التزامن_التاليتعريف هذا المعلم يحدد ما يجب أن يعالجه الشغل التالي. إذا كان الشغل التالي هو مزامنة كاملة، سيتم عرضها في البداية.
  • وقت_بدء_دورة_التزامن_التالية_بتوقيت_العالمهذا هو الوقت الذي يبدأ فيه المجدول دورة التزامن القادمة.
  • فاصل_زمني_لتاريخ_تشغيل_التاريخقم بتعيين مدى الوقت الذي يتم فيه الاحتفاظ بسجلات العمليات. الافتراضي هو الاحتفاظ بالسجلات لمدة 7 أيام.
  • تمكين_دورة_التزامنيشير إلى ما إذا كان المجدول يقوم بتشغيل عمليات الاستيراد والتزامن والتصدير كجزء من عملياته.
  • تمكين_الصيانةتمكين الصيانة يحدث تحديثات الشهادات/المفاتيح ويقوم بتطهير سجل العمليات.
  • تمكين_وضع_التجميع – إذا تم تمكينه، يكبح التصديرات عن العمل. المزامنة.
  • تعليق_المجدول – يتم تعيينه لحظر المجدول مؤقتًا عن التشغيل.

فرض المزامنة بواسطة PowerShell

البحث عن كلمات مرور تسربت وغير آمنة في Active Directory الخاص بك عن طريق الفحص ضد قائمة كلمات المرور NCSC.

لديك خيارات عديدة عند فرض المزامنة. يمكنك إما فرض مزامنة كاملة أو مزامنة تفصيلية. تفحص المزامنة الكاملة جميع الكائنات في جميع أنحاء AD. المزامنة التفصيلية تفحص وتزامن التغييرات فقط منذ آخر تشغيل.

لبدء مزامنة كاملة، يمكنك استخدام الأمر Start-AdSyncSyncCycle. استخدم المعامل PolicyType لاختيار Full أو Delta اعتمادًا على التزامن الذي ترغب في تنشيطه. سيقوم أي من الطريقتين بفرض مزامنة AD لـ Office 365، حسابات هوية المستخدم وجميع السمات الأخرى.

PS51> Start-ADSyncSyncCycle -PolicyType Full
PS51> Start-ADSyncSyncCycle -PolicyType Delta

إيقاف المزامنة

إذا كنت ترغب في إيقاف مزامنة قيد التنفيذ، يمكنك أيضًا استخدام الأمر Stop-ADSyncSyncCycle.

PS51> Stop-ADSyncSyncCycle

ملخص

سواء اخترت استخدام الواجهة الرسومية أو PowerShell، يجب أن تعرف الآن على طرق مختلفة لاستخدام أداة Azure Active Directory Connect لجدولة أو فرض مزامنة مع بيئة Active Directory الخاصة بك في الموقع مع Azure AD.

Source:
https://adamtheautomator.com/azure-ad-connect/