在本指南中,我将提供有关在哪里下载Azure Active Directory(最近更名为Microsoft Entra ID)Connect V2以及安装和配置该工具的信息。
Microsoft表示,最常见的拓扑结构是一个单一的本地林,具有一个或多个域,以及一个Azure AD租户。我的指南将遵循这种拓扑结构,使用一个新的Windows Server 2019林和域,一个使用高级P2试用许可的Azure AD租户,以及一个经过验证的自定义域。
下载Azure AD Connect并对其进行配置
在我们深入了解细节之前,以下是要设置和运行Azure AD Connect V2所需的6个高级步骤:
- 下载Azure AD Connect
- 运行安装程序
- 配置用户登录
- 连接您的目录
- 配置高级选项
- 启动目录同步
什么是Azure AD Connect?
简单来说,Azure AD Connect 允许您将您的同步Active Directory (AD)与Azure AD同步。这将您的老式但仍然至关重要的Windows Server Active Directory扩展到微软的云托管Azure AD,并帮助您实现创建混合身份的目标。
如果您对这些术语不熟悉或需要恢复记忆,没问题。我们建议在继续之前花点时间查看我们的Active Directory和Azure Active Directory的比较。
Azure AD Connect 包含诸如密码哈希同步 (PHS)、透传身份验证 (PTA)和与Active Directory联合身份验证服务 (AD FS)的功能。这些和其他功能在微软的什么是Azure AD Connect支持页面中有解释。
此外,请注意,Azure Active Directory 域服务(Azure AD DS)是 Microsoft 提供的另一种服务,本指南中不涵盖该内容。
Azure AD Connect V2 的新功能
Azure AD Connect 2 带来了一些重大变化:
- SQL Server 2019 LocalDB
- MSAL 认证库
- Visual C++ Redist 14
- TLS 1.2(不再支持 1.0 和 1.1)
- 所有二进制文件都使用 SHA2 签名
- 不再支持 Windows Server 2012 和 Windows Server 2012 R2
- PowerShell 5.0
Microsoft 已经宣布,所有 Azure AD Connect V1 版本将于 2022 年 8 月 31 日退役。这一点本身应该足够激励用户升级到 Azure AD Connect V2。
请参阅Petri的Russel Smith关于Azure AD Connect V2的新特性的文章,了解更多关于Azure AD Connect V2中最大变化的信息。此外,微软的Azure AD Connect:版本发布历史支持页面包含了关于新功能和功能的重要详细信息。
Azure AD Connect V2的先决条件
在我们安装Azure AD Connect V2之前,我们需要准备以下几样东西:
- Azure AD租户,可以是免费或高级(付费)的
- 一个本地或云托管(在基础设施即服务虚拟机上)的Windows Server,作为AD 域控制器(旧版本的Windows Server也可以工作,但某些功能,如密码回写,将需要2016或更高版本)
- 您的域控制器必须是可写的,只读域控制器(RODC)不支持。
- 理想情况下,Azure AD Connect应该安装在专用的域加入服务器上,但您也可以将其安装在您的域控制器上(需要Windows Server 2016或更高版本,并且需要桌面体验才能安装Azure AD Connect V2)
- AD和AAD账户用于您的Azure AD Connect服务器。微软区分了用于操作Azure AD Connect的账户和用于其安装和配置的账户。
对于本指南,我们将简单地使用一个全局管理员账户用于Azure AD租户,以及AD的企业管理员组的成员用于AD连接。在您的生产环境中,请确保您使用专用账户,这些账户仅涵盖所需的最低权限,并确保您的密码安全。有关详细信息,请参阅微软的Azure AD Connect:账户和权限支持页面。
安装和配置Azure AD Connect V2
我们需要做的第一件事是下载Azure AD Connect安装程序。以下是操作步骤。
下载 Azure AD Connect
- 登录Azure 门户
- 导航到Azure Active Directory
- 在管理部分,选择Azure AD Connect,然后点击下载 Azure AD Connect。
执行 Azure AD Connect 安装程序
一旦下载完成,我们将在我们的Azure AD Connect 服务器(域控制器或专用服务器)上执行此安装程序(AzureADConnect.msi)。需要提升的权限,因此请确保在提示时选择是。
安装程序加载后,您将看到欢迎使用 Azure AD Connect屏幕。一旦您接受了许可条款和隐私声明,请点击继续。
选择自定义设置
在快速设置屏幕上,您需要在页面底部选择自定义。快速设置可能适用于许多环境,但某些设置仅能通过自定义设置安装来设置。
在安装所需组件屏幕上,您可以自定义影响Azure AD Connect的设置:
- 指定自定义安装位置
- 使用现有SQL Server(适用于较大的环境和高可用性需求)
- 使用现有服务帐户(您可能需要在您的环境中使用预创建的帐户)
- 指定自定义同步组(允许您设置自己的本地安全组,而不是默认组)
- 导入同步设置(这些设置已从另一个Azure AD Connect安装中导出)
完成选择后,点击安装。安装程序将安装像同步服务这样的必需组件。
配置用户登录
过一会儿,用户登录 屏幕将显示。您可以选择以下选项之一:
- 密码哈希同步(默认选择)
- 透传身份验证
- 与AD FS联合
- 与PingFederate联合
- 不进行配置
您还可以为用户启用单点登录。选择您希望的方法(本指南使用密码哈希同步),然后点击下一步。
在连接到 Azure AD屏幕上,输入您的Azure AD帐户凭据(请参阅上一节中的先决条件)。如果您以前没有使用过此帐户登录,则可能会提示您更改密码。此外,如果您的帐户启用了多重身份验证(MFA),则可能需要满足您组织设定的任何要求。
点击下一步继续。
连接您的目录
在连接您的目录屏幕上,在FOREST下,选择您的目录,然后点击添加目录。
在弹出窗口中,您将被提示选择创建新帐户或使用现有帐户。此帐户将用于目录同步。
如果您已经为此创建了帐户,请确保它不是企业管理员组或域管理员组的成员。在本指南中,我们将创建一个新帐户。
您将看到您添加的目录列在配置的目录下。如果您的需求或情况发生了变化,您还可以选择移除一个或多个已添加的目录。
完成后,点击下一步。
选择用户在 Azure AD 中如何标识
在Azure AD登录配置屏幕上,您将看到已添加目录的Active Directory UPN后缀和对应的Azure AD域状态。如果您的任何域尚未经过验证或添加,则可以通过下方表格下方的刷新图标来修复此问题并刷新此屏幕。
在同一页上,您还可以自定义您的用户主体名称(UPN),这将作为Azure AD用户名。
您需要就如何标识您的用户在Azure AD中做出一个关键决策。与Active Directory不同,Azure AD不允许重复。
严格来说,AD也不允许重复,但它并没有真正执行这一点。您可以在AD中有重复的UPN并且没有问题,而Azure AD只会同步第一个帐户,忽略任何后续的帐户。您也可以在多个目录中拥有相同的用户名,同样限制会适用。
如果您担心这可能适用于您,那么您可以在启动Azure AD Connect设置之前使用idFix来验证您的AD。有关更多信息,请参阅Microsoft的GitHub关于idFix的页面。
通常情况下,您可以保留默认的userPrincipalName值,但您的具体情况可能有所不同。不可路由的域名(常见的是.local或.internal)也是更改UPN的一个很好理由,但这也可以通过添加另一个(可路由的)UPN后缀来解决,方法是通过活动目录域和信任。
单击下一步继续。
选择要同步的域和组织单位
在域和组织单位筛选屏幕上,您可以选择同步所有域和组织单位(OU),或自定义您想要同步的哪些。微软表示某些OU对功能至关重要,您应该保留它们选定。微软的基于组织单位的筛选提供了有关这些OU的更多信息。
单击下一步继续。
在独特标识您的用户屏幕上,选择最符合您基础架构的选项。与前一节一样,正确选择非常关键。
虽然默认值可能适用于许多组织,但您的环境可能需要花一些时间和精力来确定最适合您的值。请查看微软的独特标识您的用户支持页面以获取更多信息。
准备就绪后,点击下一步继续。
选择要同步到 Azure AD 的用户和设备
在筛选用户和设备屏幕上,您可以通过指定一个单一组来限制哪些用户和设备将被同步到Azure AD。这是限制您最初试点部署的一种方便方式。
在完成试点并解决部署中所有问题后,您可以更改这些设置,如果遇到任何问题。如果您想使用此功能,只需输入试点组的名称,然后点击解析按钮。
请记住,微软警告说此功能不适用于生产部署,因此请确保在上线之前更改它。
对于本指南,我创建了一个名为HybridUsers的组,并将所有测试用户添加到其中。
点击下一步继续。
选择您的组织需要的可选功能
在可选功能屏幕上,您可以设置额外的设置,以满足您组织的独特需求:
- Exchange 混合部署(用于 Exchange 在本地和 Exchange Online 之间的共存)
- Exchange 邮件公共文件夹(将来自本地 Active Directory 的邮箱启用的公共文件夹对象与 Azure AD 同步)
- Azure AD 应用程序和属性过滤(限制要同步到 Azure AD 的属性)
- 密码哈希同步
- 密码写回(使您的用户能够自助重置密码,减少呼叫帮助台)
- 组写回(将特定的 Azure AD 组写回到您的 AD)
- 设备写回(将 Azure AD 注册设备写回到您的 AD)
- 目录扩展属性同步(将自定义 AD 属性同步到您的 Azure AD)
对于本指南,我会保留默认值。对于您的环境,请确保选择最合适的设置,并记住一些设置可能有特定要求。Microsoft在其可选功能支持页面上提供了更多信息。
点击下一步继续。
在开始同步过程之前选择您的选项
我们来到了准备配置屏幕,为您提供对您选择的选择性概述。它还允许您设置以下两个选项:
- 当配置完成时开始同步过程(取消选中此项会延迟开始同步过程)
- 启用临时模式:选中时,同步将不会将任何数据导出到AD或Azure AD(此Azure AD Connect实例仍将导入设置)
如果您的主要Azure AD Connect服务器变得不可用,则准备第二个Azure AD Connect服务器以接收您的数据可能很有用。这使您能够(手动)将第二个服务器变为主动同步服务器,跳过整个安装过程或无需从备份中恢复的步骤。您将是最适合确定如何最佳设置您的Azure AD Connect服务器的人。
确认所有设置正确后,点击安装。
现在,Azure AD Connect 将部署您的设置,安装几个组件,然后启动您的AD与Azure AD之间的初始同步。根据您的AD的大小,这可能需要一段时间。
验证Azure AD Connect 是否正常工作
接下来您将看到的取决于您在安装过程中的选择。如果您按照我的指示进行操作,那么您的环境应该类似。
在您的Azure 门户中,导航到
仍然在
重新配置您的Azure AD Connect 和其他工具
您会在桌面上找到一个新的快捷方式(Azure AD Connect),允许您重新配置一些Azure AD Connect设置。您可能会看到不同的选项选择,这取决于您最初的安装选择。
此外,查看或导出当前配置任务可让您方便地备份您的Azure AD Connect设置,这也可以满足一些文档要求。故障排除功能可让您启动Azure AD Connect故障排除工具,该工具将在PowerShell窗口中打开。
同步服务调度器在向导运行时会暂停,即使您没有做任何更改,因此请确保不要意外地将其保持打开。
Azure AD Connect会安装并启用进一步的工具和门户,这些工具和门户将帮助您充分利用您的混合身份设置:
现在我们已经安装了Azure AD Connect V2,并检查了两个目录之间的同步情况,也许是时候看看一些更高级的用例,比如启用单点登录(SSO)和穿透验证。此外,您需要及时了解Azure AD Connect的新版本,因为微软喜欢发布新功能,偶尔也会删除您在环境中使用的一些功能。
相关文章:
Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/