Как установить и настроить Azure AD Connect (пошаговое руководство). Прежде чем установить Azure AD Connect, вы должны убедиться, что ваша среда соответствует определенным требованиям. Поэтому первый раздел этого руководства предоставляет различные предварительные требования и условия, чтобы обеспечить успешную установку.
Также предоставляются шаги для проверки того, соответствует ли ваш on-prem сервер AD или учетная запись Azure tenant AD указанным требованиям или предварительным условиям.
После того как вы убедитесь, что ваши on-premises и среды Azure AD соответствуют описанным требованиям, перейдите ко второму разделу, где представлено подробное руководство по установке и настройке Azure AD Connect.
Начнем с статьи Как установить и настроить Azure AD Connect.
Предварительные требования для установки и настройки Azure AD Connectлокальной AD и среде Azure должны соответствовать целому ряду требований.
Прежде чем вы скачаете и установите Azure AD Connect, есть ряд требований, которым должны соответствовать ваши локальные среды AD и Azure.
В последующих подразделах приведены различные требования и рекомендации по тому, как определить, является ли оно удовлетворительным.
Общие требования к установке
Установка Azure AD Connect имеет некоторые общие и специфические требования. Пожалуйста, найдите их ниже:
1. Сервер Azure AD Connect Должен быть Присоединен к Вашей Локальной AD Домену
Сервер должен работать под управлением Windows Server 2016 или более новой версии. Чтобы проверить издание сервера, щелкните правой кнопкой мыши меню “Пуск” Windows и выберите Выполнить. Затем введите winver и нажмите ОК.
На втором скриншоте показано результат winver – мой сервер – Windows Server 2019!
Когда я опубликовал эту статью в марте 2023 года, установка Azure AD Connect на Windows Server 2022 еще не поддерживалась. Таким образом, если команда winver вернула Windows Server 2022, проверьте, начала ли Microsoft поддерживать его, и если нет, измените сервер, на который вы планируете установить AD Connect.
Также читайте Azure AD Joined vs Registered Devices — В чем разница?
2. Сервер должен работать с минимальной версией .NET Framework 4.6.2.
Чтобы проверить версию .NET Framework на вашем сервере, найдите и откройте Windows PowerShell. Затем введите приведенную ниже команду в PowerShell и нажмите Enter на клавиатуре.
Команда отображает версии .Net Framework на вашем сервере. Если ваша, как и моя, выше 4.6.2, перейдите к следующей проверке требований.
3. Сервер Azure AD Connect должен соответствовать определенным предварительным условиям политики выполнения PowerShell
При установке Azure AD Connect мастер установки запускает подписанные PowerShell скрипты в рамках установки. Таким образом, политика выполнения PowerShell должна быть настроена таким образом, чтобы позволить выполнять эти скрипты; в противном случае установка завершится неудачей.
Чтобы проверить текущую ExecutionPolicy на сервере, на котором вы планируете установить AD Connect для Azure, выполните команду Get-ExecutionPolicy в консоли PowerShell.
Если команда возвращает “RemoteSigned”, тогда все в порядке. В противном случае используйте политику группы для установки ExecutionPolicy в “RemoteSigned”, перейдя по следующему расположению.
Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Windows PowerShell
Затем дважды щелкните политику “Включить выполнение скриптов”, чтобы открыть ее настройки. Когда политика откроется для редактирования, выберите “Включено” опцию.
Наконец, из раскрывающегося списка “Политика выполнения” выберите “Все локальные скрипты и удаленные скрипты с подписью”
Когда закончите, нажмите ОК.
4. Другие важные требования для установки AD Connect
Вы не можете установить AD Connect на сервере Core, так как это не поддерживается.
Таким образом, ваш предполагаемый сервер AD Connect должен работать с полной графической оболочкой. Во-вторых, вы не можете установить AD Connect на сервере, работающем под управлением Small Business Server или Windows Server Essentials до Server 2019 – поддерживается Windows Server Essentials 2019.
Необходимые условия для подключения к сети
Это самый важный требование. Без подключения между вашим локальным Active Directory доменом сервером и Azure AD, вы не сможете успешно установить и настроить Azure AD Connect.
Следовательно, основываясь на этом, проверьте следующие предварительные условия подключения:
1. Проверка требования разрешения DNS имени
Прежде всего, проверьте, что ваш внутренний DNS разрешает все соответствующие доменные имена в вашей учетной записи центра администрирования Microsoft 365 Admin. Чтобы увидеть список доменов в вашем центре администрирования Microsoft 365, посетите эту ссылку – https://admin.microsoft.com/AdminPortal/Home#/Domains (ссылка открывается в новой вкладке браузера).
Затем войдите с вашим Office 365 или учетной записью Azure.
На странице отображаются все доменные имена, которые вы ранее зарегистрировали в вашей учетной записи. Кроме того, на странице также отображается статус доменов.
Убедитесь, что домен Azure AD для вашей установки и синхронизации AD Connect имеет зеленую галочку с надписью “Здоров” в колонке Статус.
На моей снимок экрана ниже показан мой Office 365 домен, Itechguides.com. Как видите, в колонке “Статус” домен указан как “Здоров”. Если ваше имя основного домена Office 365 показывает ошибки, исправьте их перед тем, как продолжить.
Мой домен на-предприятии AD – corp.itechguides.com.
Если вы еще не добавили доменное имя AD вашей локальной AD в список доменных имен Azure AD, и вы хотите синхронизировать пользователей, вам необходимо указать точное доменное имя сейчас.
I mention this again in the installation and select up section of this guide.
Чтобы убедиться, что ваш локальный DNS-сервер разрешает эти доменные имена, войдите на сервер, на который вы планируете установить Azure AD Connect, откройте командную строку, введите команду nslookup и нажмите Enter.
Когда откроется приглашение nslookup, введите доменные имена по одному и нажмите Enter. Приглашение nslookup должно отображать полностью квалифицированное доменное имя домена и его IP-адрес – см. мои скриншоты ниже.
Если вы успешно разрешили имена с сервера, на который вы планируете установить Azure AD Connect, перейдите к проверке второго требования ниже.
2. Проверка предварительных условий прокси-сервера:
Если ваша организация подключается к интернету через прокси-сервер, вам необходимо внести изменения, описанные в этом разделе. Во-первых, откройте C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config с помощью блокнота.
Затем введите код ниже перед </configuration> файла machine.config. Замените <PROXYADDRESS>:<PROXYPORT> на фактический адрес прокси и порт, который вы используете для подключения к интернету.
<system.net>
<defaultProxy>
<proxy
usesystemdefault=”true”
proxyaddress=”http://<PROXYADDRESS>:<PROXYPORT>”
bypassonlocal=”true”
/>
</defaultProxy>
</system.net>
Еще одним важным требованием к прокси-серверу является аутентификация. Если ваш прокси-сервер требует аутентификации, создайте групповую управляемую учетную запись службы (gMSA), которую вы будете использовать для синхронизации Active Directory.
Если вы используете прокси для подключения к Интернету, создайте gMSA сейчас. Затем измените код, который вы добавили ранее в файл machine.config, чтобы он выглядел следующим образом.
Выполните эти задачи сейчас, так как они вам понадобятся для раздела установки этого руководства.
<system.net>
<defaultProxy enabled=”true” useDefaultCredentials=”true”>
<proxy
usesystemdefault=”true”
proxyaddress=”http://<PROXYADDRESS>:<PROXYPORT>”
bypassonlocal=”true”
/>
</defaultProxy>
</system.net>
Попробуйте наши инструменты отчетности для Active Directory и Azure AD Connect
Попробуйте нас бесплатно, доступ ко всем функциям. – Более 200 шаблонов отчетов AD доступны. Легко настраивайте свои собственные отчеты AD.
Продолжайте читать руководство, чтобы узнать, как установить и настроить Azure AD Connect.
Требования к локальному Active Directory
Для отображения версии схемы AD сервера, на котором вы планируете установить AD Connect, выполните следующие команды в Windows PowerShell.
Команда возвращает число от 13 (для Windows 2000 Server) до 88 (для Windows Server 2019 и Windows Server 2022). На скриншоте ниже показано, что у меня 88, что подтверждает, что мой DC работает на Windows Server 2019.
Таким образом, для того чтобы ваша схема AD соответствовала этому требованию, последняя команда должна возвращать минимум 30 (Windows Server 2003). Для списка номеров версий схемы для всех операционных систем Windows Server корпорации Microsoft посетите Finding the current Schema Version.
Прежде чем перейти к следующим проверкам, убедитесь, что уровень функциональности леса вашего локального леса AD составляет как минимум Windows Server 2003. Чтобы получить эту информацию, выполните следующую команду в PowerShell.
Также получите эту информацию из Active Directory Доменов и Доверительных отношений.
2. Доменный контроллер для Azure AD должен быть записываемым
Azure AD не поддерживает только чтение доменных контроллеров.
Поэтому, как часть проверок предварительных условий, убедитесь, что DC, который вы планируете использовать для синхронизации Azure AD, является записываемым.
Также прочитайте Развернуть инструмент мониторинга Azure AD
3. Включить корзину активного каталога (необязательно)
Это необязательное, но рекомендуемое требование. Включение корзины активного каталога облегчает восстановление удаленных объектов.
Включение корзины AD является необратимым. Поэтому, прежде чем выполнять эту необязательную задачу, убедитесь, что вы открыли предыдущую ссылку и прочитали содержимое. Затем, учитывая последствия для вашей среды, решите, стоит ли продолжать.
Для включения Корзины мусора Active Directory откройте Центр администрирования Active Directory. Затем щелкните правой кнопкой мыши имя корневого домена и выберите, Включить Корзину мусора.
Пошаговая установка и настройка Azure AD Connect
Прежде чем приступить к шагам в этом разделе, если вы устанавливаете и настраиваете Azure AD Connect в производственной среде, убедитесь, что вы следовали рекомендациям по предварительным условиям, изложенным в предыдущем разделе.
Когда вы будете готовы продолжить, следуйте приведенным ниже инструкциям для установки и настройки Azure AD Connect.
1. Скачайте файл установки MSI Azure AD Connection
С сервера Windows server, присоединенного к домену, на который вы планируете установить AD Connect, нажмите на ссылку Скачать Microsoft Azure Active Directory Connect.
Затем нажмите на ссылку Download, чтобы скачать файл пакета MSI.
2. Дважды нажмите на файл AzureADConnect.msi
Установка Azure AD Connect начинается при двойном нажатии на файл MSI. На странице приветствия согласитесь с условиями лицензии и нажмите Продолжить.
3. Мастер установки выбирает “Express Settings”
Прочитайте действия, которые выполняет мастер установки с Express Settings, и если вы с этим согласны, нажмите “Использовать express настройки”.
В противном случае, чтобы настроить установку, нажмите “Настроить”.
4. Настройте страницу “Установить необходимые компоненты”
Если вы выбрали опцию “Настроить”, на следующем экране отображаются параметры для настройки требований к установке. Заголовки доступных опций настройки самоописывающиеся.
Чтобы настроить опцию, установите флажок рядом с ней. После завершения настроек нажмите Установить.
5. Выберите опции на странице “Вход пользователей”
Выберите, как ваши пользователи локальной AD пользователей должны входить в систему в Azure AD на этой странице. Чтобы узнать больше о каждом варианте, прочитайте Azure AD Connect варианты входа пользователей.
Для этого руководства я выбираю первый вариант – Синхронизация хэшей паролей. Выбор этого варианта позволяет пользователям использовать свои учетные данные локальной AD имя пользователя и пароль для входа в Azure AD.
6. Войдите в Azure AD
Затем загружается страница “Подключение к Azure AD”. Введите ваше Office 365 имя пользователя в формате UPN ([email protected]); затем введите ваш пароль и нажмите Далее. На следующей странице мастера установки вы подключаетесь к вашей локальной домену AD.
7. Выберите домены On-Prem AD, которые вы хотите синхронизировать
На странице “Подключение ваших каталогов” нажмите “Добавить каталог”. Затем, на странице “Учетная запись леса AD”, разрешите Azure AD Connect создать учетную запись для вас, выбрав “Создать новую учетную запись AD”. Это рекомендуемый вариант от Microsoft.
Далее введите пользователя из локальной Active Directory, который является членом группы Enterprise Admin, введите пароль пользователя и нажмите OK. Пожалуйста, обратитесь к моей второй снимочке, представленной ниже, для визуального справки.
8. Подтвердите свой выбор, затем продолжите установку
После успешного добавления вашего локального пользователя AD, мастер установки Azure AD возвращает вас на страницу “Подключение ваших каталогов”. На странице должен отображаться локальный домен AD, который вы хотите синхронизировать с Azure AD.
Если вы довольны добавленным доменом имени, продолжайте установку и настройку Azure AD Connect, нажав Далее.
9. Настройка параметров входа Azure AD для локальных пользователей
Затем на экране “Настройка входа в Azure AD” выберите, как вы хотите, чтобы ваши локальные Active Directory пользователи входили в Azure AD. По умолчанию используется userPrincipalname.
Мастер установки и настройки Azure AD выбирает параметр UPN по умолчанию.
Как видно на моем первом скриншоте ниже, для того чтобы локальные AD пользователи входили в Azure AD с одним и тем же аккаунтом, имя домена локального AD ДОЛЖНО быть добавлено и настроено на странице домена Office 365.
I have just added my on prem AD domain name into my Office 365 registered domain list, then I clicked the “Refresh” icon.
На втором скриншоте ниже, поскольку маг теперь может видеть один и тот же домен в Azure AD, что и в локальном домене AD, столбец “Конфигурация входа в Azure AD” на странице теперь отображает Подтверждено.
Когда экран будет выглядеть как на последнем скриншоте, нажмите Далее для продолжения.
10. Настройте “Фильтрацию доменов и OU”
Далее необходимо определить OUs и контейнеры, которые вы хотите синхронизировать с Azure AD.
Azure AD Connect выбирает “Синхронизировать все домены и OUs” по умолчанию. Однако вы можете выбрать “Синхронизировать выбранные домены и OUs”, чтобы синхронизировать определенные контейнеры.
В моей конфигурации я синхронизирую только одну OU – “Писатели” OU. Второй скриншот ниже демонстрирует этот шаг.
11. Настройте, как Azure AD будет уникально идентифицировать локальных пользователей
Настройка того, как Azure уникально идентифицирует ваши локальные пользователи AD. Если у вас есть пользователи Active Directory с уникальными идентификаторами, такими как sAmAccountNames, выберите стандартный вариант в разделе “Выберите, как пользователи должны быть идентифицированы в ваших локальных каталогах”.
I strongly recommend that you accept the default in the “Select how users should be identified with Azure AD.” section. When you’re done, click Next.
I am accepting the defaults in both sections.
12. Настройка того, как Azure AD Connect выполняет начальную синхронизацию
Решите, нужно ли вам выполнить тестовую синхронизацию или синхронизировать всех пользователей и устройства. Если вы проводите пилотную развертывание Azure AD Connect, создайте группу безопасности AD и добавьте пользователей и устройства, которые вы хотите протестировать, в группу.
Затем на странице “Фильтр пользователей и устройств” выберите опцию “Синхронизировать выбранные”, введите имя группы AD group и выберите разрешить. Наконец, нажмите кнопку Далее, чтобы продолжить.
Иначе, если вы готовы синхронизировать все элементы в контейнерах, выбранных на шаге 10 ранее, примите значение по умолчанию – “Синхронизировать всех пользователей и устройства” – затем нажмите Далее, чтобы продолжить. Для этого демо я выбрал этот вариант.
Также читайте Как добавить контроллер домена в существующий домен
13. Добавьте некоторые дополнительные функции по необходимости
На этой последней странице проверьте дополнительные функции, которые вы хотите добавить. Чтобы узнать о каждой функции, нажмите значок справки (?). Закончив, нажмите Далее.
Затем на последней странице просмотрите свои выборы.
Флажок “Запустить процесс синхронизации после завершения конфигурации” установлен по умолчанию. Если вы устанавливаете это в производственной среде, я настоятельно рекомендую также установить флажок “Включить режим подготовки”.
Для моей демонстрационной установки я приму значения по умолчанию и нажму кнопку “Установить”.
14. Ожидайте установки и настройки Azure AD Connect
Теперь расслабьтесь и ожидайте установки и настройки Azure AD Connect с выбранными опциями. Если вы следовали этому руководству с самого начала, все должно идти по плану, и вы должны увидеть “Страницу завершения настройки” – см. второй снимок экрана ниже.
На этом этапе вы закрываете мастер установки, нажав кнопку “Выход” в нижнем правом углу страницы “Завершение настройки”.
15. Проверьте вашу установку
Наконец, убедитесь, что пользователи в выбранных вами контейнерах на шаге 10 успешно синхронизированы с вашим Azure AD из вашего локального AD. В моей демонстрации я выбрал синхронизацию пользователей в OU “Writers” в Azure AD.
Чтобы показать вам, что пользователи в моей OU “Writers” успешно синхронизированы с моим Azure AD Office 365 tenant, я вставил изображения моего локального AD и Azure AD на одном изображении ниже.
В этой OU находятся два пользователя.
Спасибо, что прочитали статью “Как установить и настроить Azure AD Connect”. Мы заканчиваем эту статью.
Как установить и настроить Azure AD Connect Заключение
Если у вас есть локальный Active Directory и учетная запись Azure AD, имеет смысл синхронизировать оба. В этом и заключается роль Azure AD Connect.
Хотя установка Azure AD Connect требует некоторого планирования и времени, она проходит достаточно гладко, когда вы подготавливаете свои среды для выполнения требований. Вот что мы сделали в этой статье.
Если вы следовали шагам в статье, я уверен, что вы успешно спланировали, установили и настроили Azure AD Connect. Спасибо за чтение!
Source:
https://infrasos.com/how-to-install-and-setup-azure-ad-connect-step-by-step/