如何安装和设置 Azure AD Connect(逐步)

教程

如何安装和设置Azure AD Connect(逐步指南)。在安装Azure AD Connect之前,您必须检查您的环境是否满足某些要求。因此,本指南的第一部分提供了各种先决条件和要求,以确保成功安装。

还提供了用于检查您的本地 AD服务器 或Azure AD租户 帐户是否满足所述要求或先决条件的步骤。

一旦确认您的本地和Azure AD环境满足了所述要求,即可继续第二部分,在那里有详细的指南来安装和设置Azure AD Connect

我们是否可以开始阅读《如何安装和设置Azure AD Connect》的文章。

还可阅读 Azure AD Connect Force Sync PowerShell/ Synchronization Service Manager

Azure AD Connect安装和设置先决条件在您下载和安装Azure AD Connect之前,您的 本地 AD和Azure环境必须满足一系列要求。

在下载和安装Azure AD Connect之前,您的本地AD和Azure环境必须满足一系列要求。

在随后的子节中,将提供不同的要求和指导,以确定是否满足这些要求。

一般安装要求

Azure AD Connect的安装有一些一般和特定的要求。请在下面找到它们:

1. Azure AD Connect服务器必须加入到您的本地AD域

该服务器必须运行Windows Server2016或更高版本。要检查服务器的版本,请右键单击Windows开始菜单并选择运行。然后,输入winver并单击确定

第二个屏幕截图显示了winver的结果——我的服务器是Windows Server 2019!

当我在2023年3月发布这篇文章时,在Windows Server 2022上安装Azure AD Connect尚未得到支持。因此,如果您的winver命令返回了Windows Server 2022,请检查微软是否已经开始支持它,如果不支持,请更改您计划安装AD Connect的服务器。

也请阅读Azure AD 加入的设备与注册的设备 — 有什么区别?

2. 服务器必须运行至少4.6.2版本的.NET框架。

要检查您的服务器的.NET框架版本,请搜索并打开Windows PowerShell。然后,在PowerShell中输入以下命令并按Enter键。

Get-ChildItem 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP' -Recurse | Get-ItemProperty -Name Version, Release -EA 0 | Where { $_.PSChildName -Match '^(?!S)\p{L}'} | Select PSChildName, Version, Release

该命令显示您服务器上的.Net框架版本。如果您的版本(像我的一样)高于4.6.2,请继续进行下一个要求检查。

3. Azure AD Connect服务器必须满足特定的PowerShell执行策略先决条件

当您安装Azure AD Connect时,安装向导会作为安装的一部分运行签名的PowerShell脚本。因此,PowerShell执行策略必须配置为允许这些脚本运行;否则,安装将失败。

要检查计划安装Azure AD Connect的服务器的当前ExecutionPolicy,请在PowerShell控制台上运行Get-ExecutionPolicy命令。

Get-ExecutionPolicy

如果命令返回“RemoteSigned”,那么您就可以开始了。否则,使用组策略将ExecutionPolicy设置为“RemoteSigned”,方法是导航到以下位置。

计算机配置 -> 策略 -> 管理模板 -> Windows组件 -> Windows PowerShell

 

然后,双击“启用脚本执行”策略以打开其设置。在编辑策略时,选择“已启用”选项。

最后,从“执行策略”下拉列表中选择“所有本地脚本和远程签名脚本”

完成后,点击确定。

4. 其他重要的AD Connect安装要求

您不能在服务器核心上安装AD Connect,因为这不被支持。

因此,您提议的AD Connect服务器必须运行完整的图形用户界面。其次,您不能在运行小型企业服务器或AD ConnectWindows Server Essentials服务器(2019版之前)上安装——Windows Server Essentials 2019是受支持的。

还请阅读使用PowerShell的Get-MgUser命令查找并导出Azure AD用户

网络连接先决条件

这是最重要的要求。如果您的本地活动目录加入的服务器与Azure AD之间没有连接,则无法成功安装和设置Azure AD Connect。

因此,根据这一点,请检查以下连接先决条件:

1. DNS名称解析要求检查

首先,请确认您的内部DNS能够解析您在Microsoft365管理中心账户中的所有相关域名。要查看您在Microsoft 365管理中心的域名列表,请访问以下链接 – https://admin.microsoft.com/AdminPortal/Home#/Domains(该链接将在新浏览器标签页中打开)。

然后,使用您的Office 365或Azure账户登录。

该页面将显示您之前在账户中注册的所有名。此外,页面还会显示域名的状态。

确保您的AD Connect安装和同步的Azure AD域在状态列中有一个绿色的勾号,并标有“健康”字样。

下面的截图显示了我的Office 365域名,Itechguides.com。如您所见,状态列显示该域名为“健康”。如果您的默认Office 365域名显示错误,请在继续之前修复它。

我的本地AD域名是corp.itechguides.com。

如果您尚未将本地AD的AD域名添加到Azure AD域名列表中,并且希望同步用户,则必须现在添加确切的域名。

I mention this again in the installation and select up section of this guide. 

为了确认您的本地DNS服务器可以解析这些域名,请登录到您计划安装Azure AD Connect的服务器,打开命令提示符,输入nslookup命令并按回车键。

nslookup

nslookup提示符打开时,逐个输入域名并按Enter键。nslookup命令提示符应该显示域的完全限定域名及其IP地址 – 请参见下面的屏幕截图。

如果您成功地从计划安装Azure AD Connect的服务器解析了这些名称,请继续执行下面的第二个要求检查。

2. 代理服务器先决条件检查:

如果您的组织通过代理服务器连接到互联网,则必须按照本节中的说明进行修改。首先,使用记事本打开C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

然后,在machine.config文件的</configuration>之前输入以下代码。将<PROXYADDRESS>:<PROXYPORT>更改为实际用于连接到互联网的代理地址和端口。

<system.net>

        <defaultProxy>

            <proxy

            usesystemdefault=”true”

            proxyaddress=”http://<PROXYADDRESS>:<PROXYPORT>”

            bypassonlocal=”true”

            />

        </defaultProxy>

    </system.net>

另一个重要的代理服务器要求是认证。如果您的代理服务器需要认证,创建一个组托管服务帐户(gMSA),您将用于AD同步

如果您使用代理连接到互联网,请立即创建一个gMSA。然后,修改您之前添加到machine.config文件中的代码,使其看起来像这样。

现在执行这些任务,因为您将需要它们用于本指南的安装部分。

<系统.网络>
<默认代理 启用=“真” 使用默认凭据=“真”>
<代理
使用系统默认=“真”
代理地址=“http://<代理地址>:<代理端口>”
绕过本地=“真”
/>
</默认代理>
</系统.网络>

尝试我们的活动目录和Azure AD连接报告工具

试用我们 免费,访问所有功能。- 200多个AD报告模板可用。轻松定制您自己的AD报告。




继续阅读本指南,了解如何安装和设置Azure AD连接。

另请阅读Azure AD组类型解释 – 安全/Microsoft 365组

本地活动目录要求

确保您的本地AD满足以下先决条件:

1. AD架构版本和森林功能级别必须是Windows Server 2003或更高版本

要在您计划安装AD Connect的服务器上显示AD架构版本,请在Windows PowerShell中运行以下命令。

(Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion).objectVersion

该命令将返回一个介于13(对于Windows 2000 Server)和88(对于Windows Server 2019和Windows Server 2022)之间的数字。下面的截图显示我的版本是88,这确认了我的DC正在运行Windows Server 2019。

因此,为了满足这一要求,最后一个命令必须返回至少30(Windows Server 2003)。有关微软所有Windows Server操作系统的架构版本号列表,请访问查找当前架构版本。

在继续进行下一步检查之前,请确认您的本地AD森林的森林功能级别至少为Windows Server 2003。要在PowerShell中获取此信息,请运行下面的命令。

(Get-ADForest).ForestMode

同时从Active Directory信任中获取此信息。

2. Azure AD的域控制器必须是可写的

Azure AD不支持只读域控制器

因此,在您的先决条件检查中,请验证您计划用于Azure AD同步的DC是否可写。

另请阅读部署Azure AD监控工具

3. 启用Active Directory回收站(可选)

这是一个可选但推荐的先决条件。启用Active Directory回收站使您能够轻松恢复已删除的对象。

启用AD回收站是不可逆的。因此,在执行此可选任务之前,请确保您已经打开了前面的链接并阅读了内容。然后,在继续之前考虑对您的环境的影响。

要启用活动目录回收站,请打开活动目录管理中心。然后,右键点击您的根域名,并选择,启用回收站

也请阅读Get-AzureADAuditSignInLogs – 查找 PowerShell 中最后 30 天的登录日志

Azure AD Connect 的逐步安装和设置

在您继续本节中的步骤之前,如果您正在生产环境中安装和设置 Azure AD Connect,请确保您已经遵循了上一节中概述的先决条件指南。

当您准备好继续时,请按照以下步骤安装和设置 Azure AD Connect。

1. 下载 Azure AD 连接 MSI 安装文件

从您计划安装 AD Connect 的已加入域的Windows 服务器,点击Microsoft Azure Active Directory Connect 下载链接。

然后,点击下载链接以下载 MSI 包文件。

2. 双击 AzureADConnect.msi 文件

当您双击MSI文件时,开始安装 Azure AD Connect。在欢迎页面上,同意许可条款,然后点击继续

3. 安装向导选择“快速设置”

阅读安装向导使用快速设置所执行的操作,如果您对此满意,请点击“使用快速设置”。

否则,要自定义安装,请点击“自定义”。

另请阅读启用Azure Active Directory自助密码重置(SSPR)

4. 自定义“安装所需组件”页面

如果您选择了“自定义”选项,下一个屏幕将显示自定义安装要求的选项可用的自定义选项的标题是自我解释的。

要自定义一个选项,请勾选其旁边的复选框。完成自定义后,点击安装

5. 在“用户登录”页面上选择选项。

在此页面上选择您希望本地AD用户如何登录到Azure AD。要了解更多关于每个选项的信息,请阅读Azure AD Connect用户登录选项

在本指南中,我选择了第一个选项——密码哈希同步。选择此选项允许您的用户使用其本地AD用户名密码登录到Azure AD。

6. 登录到Azure AD

然后加载“连接到Azure AD”页面。在UPN格式([email protected])中输入您的Office 365用户名;然后输入您的密码并点击下一步。在安装向导的下一页,您将连接到您的本地AD域

阅读如何通过Azure Active Directory (AD) 实现混合身份认证

7. 选择要同步的本地AD域

“连接您的目录”页面,点击“添加目录”。接着,在“AD林帐户”页面,允许Azure AD Connect为您创建一个帐户,选择“创建新的AD帐户”。这是微软推荐的方法。

接下来,输入一个来自本地Active Directory用户,该用户是企业管理员组的成员,输入该用户的密码,然后点击确定。请参考下面提供的第二个截图以获得视觉参考。

8. 确认您的选择,然后继续安装

成功添加本地AD用户后,Azure AD安装向导将您带回到“连接您的目录”页面。该页面应该显示您想要同步到Azure AD的本地AD域名。

如果您对添加的名感到满意,请继续点击下一步进行Azure AD Connect的安装和配置。

9. 为本地用户配置Azure AD登录选项

然后,在“Azure AD登录配置”屏幕上,选择您希望本地Active Directory用户如何登录到Azure AD。默认选项是使用userPrincipalName

Azure AD安装和配置向导默认选择UPN选项。

如我在下面的第一个截图中所见,为了让本地AD用户使用相同的账户登录到Azure AD,本地AD域名必须在Office 365域页面上添加并配置。

I have just added my on prem AD domain name into my Office 365 registered domain list, then I clicked the “Refresh” icon. 

在我的第二个截图中,因为向导现在可以在Azure AD中看到与本地AD域名相同的域名,所以“Azure AD登录配置”页面的Azure AD域列现在显示已验证。

当你看到这个屏幕与上一个截图相同时,点击下一步继续。

也请阅读启用启用Active Directory的用户报告

10. 配置“域和OU过滤”

接下来是确定你想要同步到Azure AD的OU和容器。

Azure AD Connect默认选择“同步所有域和OU”。但是,你可以选择“同步选定的域和OU”来同步特定的容器。

在我的设置中,我只同步一个OU – “作家” OU。下面的第二个截图展示了这一步。

11. 配置Azure AD将如何唯一标识本地用户

设置Azure如何唯一标识您的本地AD用户。如果您的活动目录用户具有唯一标识符,如sAmAccountNames,请在“选择用户在您的本地目录中应如何被识别”部分中选择默认选项。

I strongly recommend that you accept the default in the “Select how users should be identified with Azure AD.” section. When you’re done, click Next. 

I am accepting the defaults in both sections. 

12. 设置Azure AD Connect执行初始同步的方式

决定是否需要执行测试同步或同步所有用户设备。如果您正在试运行Azure AD Connect的部署,请创建一个AD安全组,并将您想要测试的用户和设备添加到该组中。

然后,在“筛选用户和设备”页面上,选择“同步所选”选项,输入AD的名称并选择解析。最后,点击下一步继续。

如果你准备好同步之前在第10步中选择的所有容器中的项目,请接受默认选项“同步所有用户和设备”,然后单击“下一步”继续。对于此演示,我已选择了此选项。

还要阅读如何将域控制器添加到现有域

13.根据需要添加一些可选功能

在这最后一页上,勾选您希望添加的附加功能。要了解每个功能,请单击帮助(?)图标。完成后,单击“下一步”

然后,在最后一页上,检查您的选择。

“配置完成后启动同步过程”复选框默认已选中。如果您将其安装在生产环境中,我强烈建议还勾选“启用分期模式”复选框。

不过,对于我的演示安装,我将接受默认设置并单击“安装”按钮。

14.等待Azure AD Connect安装和设置完成

现在,请坐下等待 Azure AD Connect 安装并设置您选择的选项。如果您从头开始遵循了本指南,一切都应该按计划进行,您应该会收到“配置完成页面” – 请参阅下面的第二个屏幕截图。

在这个阶段,您通过点击“配置完成”页面右下角的“退出”按钮退出安装向导。

15. 检查您的安装

最后,请确认您在第 10 步中选择的容器中的用户是否成功地从您的本地 AD 同步到 Azure AD。在我的演示中,我选择将“Writers” OU 中的用户同步到 Azure AD。

为了向您展示,“Writers” OU 中的用户已成功同步到我的 Azure AD Office 365 租户,我在下面的图像中放置了我的本地 AD 和 Azure AD 的图像。

这个 OU 有两个用户。

感谢您阅读如何安装和设置 Azure AD Connect。我们现在将结束本文。

还需阅读《Azure安全最佳实践 – 符合性(清单)》

如何安装和设置Azure AD Connect结论

如果您有一个本地Active Directory和一个Azure AD租户账户,则同步两者是有意义的。这就是Azure AD Connect发挥作用的地方。

尽管安装Azure AD Connect需要一些规划和时间,但在准备环境以满足要求时,它非常顺利。这就是我们在本文中所做的。

如果您按照文章中的步骤操作,我相信您已经成功规划、安装和设置了Azure AD Connect。感谢阅读!

Source:
https://infrasos.com/how-to-install-and-setup-azure-ad-connect-step-by-step/