Integrare i servizi di dominio Active Directory (AD) in locale con Azure AD viene fatto utilizzando la GUI del Synchronization Service Manager o tramite PowerShell.
Ci sono due modi per utilizzare Azure AD in locale: l’autenticazione pass-through (che invia direttamente la richiesta di autenticazione ad Azure AD) o la sincronizzazione della password che sincronizza gli hash delle password tra l’AD in locale e Azure AD. In questo post del blog, vedremo come configurare il software Azure Active Directory Connect per sincronizzare gli hash delle password.
Spiegheremo come avviare una sincronizzazione ricorrente e come utilizzare Azure AD Connect per forzare la sincronizzazione degli hash delle password.
In poche parole, per forzare la sincronizzazione di Azure AD con PowerShell sono necessari i seguenti passaggi:
- Installare Azure Active Directory Connect
- Importare il modulo PowerShell di ADSync
- Eseguire il cmdlet
Start-AdSyncScheduleche legge gli hash delle password del controller di dominio e li sincronizza con Azure AD.
Se preferisci apprendere tramite video, assicurati di guardare questo informativo video di TechSnips.
Installa Azure AD Connect.
Per sincronizzare l’Active Directory locale con un tenant di Azure AD, prima dovrai scaricare e installare il software Azure AD Connect. Per farlo, hai due opzioni. Puoi scaricarlo dal Portale di Azure o andare direttamente al pacchetto software.
Scaricamento dal Portale di Azure
Se hai scelto di non scaricare il pacchetto dal sito Microsoft, dovrai ottenere il pacchetto dal Portale di Azure.
Cerca “Azure Active Directory” nel portale. Nella sezione Azure Active Directory, fai clic su Azure AD Connect. Qui troverai una sezione Stato sincronizzazione con un link per Scarica Azure AD Connect.
Strumenti di sincronizzazione
Quando installi Azure AD Connect, installerà due strumenti principali che puoi utilizzare per pianificare una sincronizzazione o forzarne una.
- Il modulo PowerShell ADSync
- Il Gestore del servizio di sincronizzazione
Utilizzando questi due strumenti, puoi configurare una sincronizzazione ricorrente (pianificata) per eseguire regolarmente una sincronizzazione di Azure AD. Oppure, puoi utilizzarne uno per forzare una sincronizzazione ad hoc. Entrambi gli strumenti eseguono lo stesso comportamento. L’unica differenza è che uno è tramite riga di comando (PowerShell) e uno è un’applicazione GUI.
Configurazione del modulo PowerShell ADSync
Quando installi Azure AD Connect, verrà installato un modulo PowerShell chiamato ADSync. Questo modulo contiene che ti permettono di gestire il processo di sincronizzazione usando PowerShell.
Si noti che in questo articolo sto utilizzando Windows PowerShell 5.1. I risultati possono variare se si utilizza una versione più vecchia.
Come per tutti i moduli PowerShell, l’importazione del modulo è semplice. Tuttavia, il modulo non si trova in una cartella nota dei moduli di Windows PowerShell. L’installazione installa il modulo di PowerShell nella cartella C:\Program Files\Microsoft Azure AD Connect Sync\Bin.
Per importare il modulo, aprire una console di PowerShell e inserire quanto segue:
Per verificare che il modulo sia stato importato, utilizzare il comando Get-Module. Dovrebbe essere elencato il modulo ADSync.
Pianificazione predefinita di Azure AD Sync
Per impostazione predefinita, Azure AD Connect crea un’attività pianificata che esegue una sincronizzazione delta (sincronizzazione solo degli oggetti diversi) ogni 30 minuti. È possibile trovare la pianificazione aprendo il Pianificatore attività. Si dovrebbe notare un’attività pianificata sotto Microsoft -> Windows chiamata Azure AD Sync Scheduler.
È possibile modificare questa pianificazione, ma tenere presente che 30 minuti è l’intervallo minimo supportato. L’obiettivo è impostare l’intervallo di sincronizzazione in modo che avvenga abbastanza spesso per rilevare le modifiche. Se la sincronizzazione è troppo breve, si rischia di saturare la rete.
Il pianificatore gestisce due attività:
- Ciclo di sincronizzazione – Il processo per importare, sincronizzare ed esportare le modifiche.
- Attività di manutenzione – Rinnova le chiavi e i certificati per il ripristino delle password e il servizio di registrazione del dispositivo (DRS). Elimina anche le vecchie voci nel registro delle operazioni.
Lo scheduler stesso è sempre in esecuzione, ma può essere configurato per eseguire solo una o nessuna di queste attività.
Forzare una sincronizzazione di Azure AD Connect
Potrebbero esserci momenti in cui è necessario forzare la sincronizzazione degli oggetti. Ad esempio, se è necessario avere un proprio processo di ciclo di sincronizzazione, è possibile disabilitare questa attività nello scheduler ma comunque eseguire l’attività di manutenzione.
Per utilizzare Azure Active Directory Connect per forzare la sincronizzazione delle password e altre informazioni, è possibile utilizzare il Synchronization Service Manager o PowerShell.
Forzare una sincronizzazione con il Synchronization Service Manager
Su un server con Azure AD Connect installato, passare al menu Start e selezionare AD Connect, quindi Synchronization Service.
A prima vista sembra schiacciante, ma ci si interessa solo della scheda Connectors e del riquadro di selezione a destra. Guardando il riquadro di destra, è possibile vedere le opzioni per interrompere (Stop) ed avviare (Run) la sincronizzazione.
Si noti che quando un ciclo di sincronizzazione è in esecuzione, non è possibile apportare modifiche alla configurazione. Interrompere il ciclo corrente non è dannoso e le modifiche in sospeso vengono elaborate con l’esecuzione successiva.
Ottenere lo stato di sincronizzazione con PowerShell
Prima di forzare una sincronizzazione, è una buona idea ottenere lo stato del ciclo di sincronizzazione corrente. Se si forza la sincronizzazione durante una sincronizzazione in corso, potrebbe essere possibile incorrere in alcuni problemi in seguito.
Per visualizzare le impostazioni correnti, aprire una console PowerShell sul server su cui è installato Azure Active Directory Connect e eseguire il comando Get-ADSyncScheduler. Vedrai alcune proprietà che forniscono informazioni utili.
Get-AdSyncSchedulerCi sono molte informazioni da analizzare. Vediamo riga per riga:
AllowedSyncCycleInterval– Questo è il tempo minimo tra una sincronizzazione e l’altra. Per impostazione predefinita è impostato su 30 minuti, il tempo minimo consentito.CurrentlyEffectiveSyncCycleInterval– Il programma attualmente in uso. Ha lo stesso valore diCustomizedSyncInterval(se impostato) se non è più frequente diAllowedSyncInterval. Se si utilizza una versione precedente alla 1.1.281 e si modificaCustomizedSyncCycleInterval, questa modifica avrà effetto dopo il ciclo di sincronizzazione successivo. Dalla build 1.1.281, la modifica ha effetto immediato.CustomizedSyncCycleInterval– Questo viene impostato se si desidera eseguire il programma a una frequenza diversa dai 30 minuti predefiniti.NextSyncCyclePolicyType– Questo parametro definisce cosa dovrebbe elaborare la prossima esecuzione. Se la prossima esecuzione è una sincronizzazione completa, verrà visualizzata inizialmente.NextSyncCycleStartTimeInUTC– Questo è l’orario in cui lo scheduler avvia il ciclo di sincronizzazione successivo.PurgeRunHistoryInterval– Imposta quanto tempo vengono conservati i log delle operazioni. Il valore predefinito è di conservare i log per 7 giorni.SyncCycleEnabled– Indica se lo scheduler sta eseguendo i processi di importazione, sincronizzazione ed esportazione come parte della sua operazione.MaintenanceEnabled– Abilitando la manutenzione si aggiornano i certificati/chiavi e si eliminano i log delle operazioni.StagingModeEnabled– Se abilitato, sopprime l’esecuzione delle esportazioni. sincronizzazione.SchedulerSuspended– Impostare per bloccare temporaneamente lo scheduler dall’esecuzione.
Forzare una sincronizzazione con PowerShell
Trova password trapelate e non sicure nel tuo Active Directory controllando l’elenco password NCSC.
Hai un paio di opzioni quando forzi una sincronizzazione. Puoi forzare una sincronizzazione completa o una sincronizzazione delta. Una sincronizzazione completa controlla tutti gli oggetti nell’AD. Una sincronizzazione delta controlla e sincronizza solo le modifiche dall’ultima esecuzione.
Per avviare una sincronizzazione completa, puoi utilizzare il cmdlet Start-AdSyncSyncCycle. Utilizza il parametro PolicyType per scegliere tra Full o Delta a seconda del tipo di sincronizzazione che desideri avviare. Entrambi i metodi forzeranno una sincronizzazione AD per Office 365, account di identità utente e tutti gli altri attributi.
Interrompere una sincronizzazione
Se desideri interrompere una sincronizzazione in corso, puoi anche utilizzare il cmdlet Stop-ADSyncSyncCycle.
Sommario
Sia che tu scelga di utilizzare la GUI o PowerShell, ora dovresti conoscere vari modi per utilizzare lo strumento Azure Active Directory Connect per programmare o forzare una sincronizzazione con il tuo ambiente Active Directory locale con Azure AD.