如何安裝和設定 Azure AD Connect(逐步指南)

教學

如何安裝和設置 Azure AD Connect(逐步)。 在安裝 Azure AD Connect 之前,您必須檢查您的環境是否符合某些要求。 因此,本指南的第一部分提供了各種先決條件和要求,以確保成功安裝。

還提供了步驟,以檢查您的本地 AD 伺服器 或 Azure AD 租戶 帳戶是否符合所述的要求或先決條件。

一旦您確認您的本地和 Azure AD 環境符合所述的要求,請繼續進入第二部分,在那裡提供了安裝和設置 Azure AD Connect 的詳細指南。

我們是否可以開始閱讀如何安裝和設置 Azure AD Connect 的文章。

另請參閱 Azure AD Connect 強制同步 PowerShell/ 同步服務管理器

Azure AD Connect 安裝和設置先決條件在您下載和安裝 Azure AD Connect 之前,您的 本地 AD 和 Azure 環境必須滿足一系列要求。

在您下載並安裝Azure AD Connect之前,您的本地AD和Azure環境必須滿足一系列要求。

在接下來的小節中,有不同的要求和提供的指導,以幫助您確定是否滿足這些要求。

一般安裝要求

Azure AD Connect的安裝有一些一般和特定的要求。請在下面找到它們:

1. Azure AD Connect服務器必須加入到您的本地AD域

該服務器必須運行Windows Server2016或更新版本。要檢查服務器的版本,請右鍵點擊Windows開始菜單並選擇運行。然後,輸入winver並點擊確定

第二個屏幕截圖顯示了winver的結果 – 我的服務器是Windows Server 2019!

當我在2023年3月發布這篇文章時,在Windows Server 2022上安裝Azure AD Connect還不支持。因此,如果您的winver命令返回Windows Server 2022,請檢查Microsoft是否已經開始支持它,如果沒有,請更改您計劃安裝AD Connect的服務器。

另請閱讀Azure AD 加入與註冊裝置 — 有何不同?

2. 伺服器必須執行至少 .NET Framework 4.6.2 版本。

要檢查伺服器的 .NET Framework 版本,請搜尋並開啟Windows PowerShell。然後,將以下命令輸入 PowerShell 並按下鍵盤上的 Enter 鍵。

Get-ChildItem 'HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP' -Recurse | Get-ItemProperty -Name Version, Release -EA 0 | Where { $_.PSChildName -Match '^(?!S)\p{L}'} | Select PSChildName, Version, Release

該命令會顯示伺服器上 .Net Framework 的版本。如果您的版本(如我的一樣)高於 4.6.2,請繼續進行下一個需求檢查。

3. Azure AD Connect 伺服器必須符合特定的 PowerShell 執行策略先決條件

安裝 Azure AD Connect 時,安裝嚮導會運行已簽名的PowerShell腳本作為安裝的一部分。因此,PowerShell 執行策略必須配置為允許這些腳本運行;否則,安裝將失敗。

要檢查計劃安裝 Azure AD Connect 的伺服器的當前 ExecutionPolicy,請在 PowerShell控制台上運行Get-ExecutionPolicy命令。

Get-ExecutionPolicy

如果命令返回“RemoteSigned”,則表示一切就緒。否則,使用群組原則將ExecutionPolicy設置為“RemoteSigned”,方法是導航到以下位置。

電腦設定 -> 原則 -> 系統管理範本 -> Windows元件 -> Windows PowerShell

 

然後,雙擊“啟用腳本執行”原則以打開其設置。在編輯原則時,選擇“已啟用”選項。

最後,從“執行原則”下拉列表中,選擇“所有本地腳本和遠程簽名腳本”

完成後,點擊確定。

4. 其他重要的AD Connect安裝要求

您不能在Server Core上安裝AD Connect,因為這不受支持。

因此,您提議的AD Connect伺服器必須運行完整GUI。其次,您不能在運行Small Business Server或AD Connect的伺服器上安裝Windows Server Essentials,除非是Server 2019之前的版本 – Windows Server Essentials 2019受支持。

另請閱讀使用PowerShell的Get-MgUser – 查找並導出Azure AD用戶

網絡連接先決條件

這是最重要的要求。如果您的本地Active Directory加入的服務器和Azure AD之間沒有連接,您將無法成功安裝和設置Azure AD Connect。

因此,根據這一點,請檢查以下連接先決條件:

1. DNS名稱解析要求檢查

首先,請確認您的內部DNS能解析您在Microsoft 365 Admin中心帳戶中的所有相關網域名稱。若要查看您在Microsoft 365管理中心的網域列表,請訪問此連結 – https://admin.microsoft.com/AdminPortal/Home#/Domains(此連結將在新瀏覽器分頁中開啟)。

接著,使用您的Office 365或Azure帳戶登入。

該頁面將顯示您先前在帳戶中註冊的所有網域名稱。此外,該頁面還會顯示網域的狀態。

請確保您的AD Connect安裝和同步的Azure AD網域在狀態欄位中有一個綠色勾號並標有“健康”字樣。

我在下方提供的螢幕截圖顯示了我的Office 365網域,Itechguides.com。如您所見,狀態欄顯示該網域為“健康”。如果您的預設Office 365網域名稱顯示錯誤,請在繼續之前修復它。

我的本地AD網域名稱是corp.itechguides.com。

如果您尚未將內部部署AD的AD域名添加到 Azure AD域名列表中,並且希望同步用戶,則必須現在添加該確切的域名。

I mention this again in the installation and select up section of this guide. 

為了確認您的本地DNS服務器解析這些域名,請登錄到您打算安裝 Azure AD Connect的服務器,打開命令提示符,輸入nslookup命令並按Enter鍵。

nslookup

nslookup提示符打開時,一次輸入一個域名並按Enter鍵。nslookup命令提示符應該顯示域的完全合格域名及其IP地址 – 請參見下面的屏幕截圖。

如果您成功地從計劃安裝Azure AD Connect的服務器解析了這些名稱,請繼續進行下面的第二個要求檢查。

2. 代理服務器預備檢查:

如果您的組織通過代理服務器連接到互聯網,則必須進行本節所述的修改。首先,使用記事本打開C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config

然後,在machine.config文件的</configuration>之前輸入以下代碼。將<PROXYADDRESS>:<PROXYPORT>更改為您用於連接到互聯網的實際代理地址和端口。

<system.net>

        <defaultProxy>

            <proxy

            usesystemdefault=”true”

            proxyaddress=”http://<PROXYADDRESS>:<PROXYPORT>”

            bypassonlocal=”true”

            />

        </defaultProxy>

    </system.net>

另一個重要的代理伺服器要求是驗證。如果您的代理伺服器需要驗證,請創建一個群組管理的服務帳戶(gMSA),用於AD同步

如果您使用代理連接到互聯網,請立即創建一個gMSA。然後,修改您之前添加到machine.config文件中的代碼,使其看起來像這樣。

現在就執行這些任務,因為在這個指南的安裝部分您將需要它們。

<system.net>
<defaultProxy enabled=”true” useDefaultCredentials=”true”>
<proxy
usesystemdefault=”true”
proxyaddress=”http://<PROXYADDRESS>:<PROXYPORT>”
bypassonlocal=”true”
/>
</defaultProxy>
</system.net>

試用我們的Active Directory & Azure AD Connect報告工具

立即試用,享受免費,所有功能均可使用。– 200多個AD報告模板可供選擇。輕鬆自定義您自己的AD報告。




繼續閱讀本指南,學習如何安裝和設置Azure AD Connect。

另請閱讀Azure AD群組類型解釋 – 安全/Microsoft 365群組

本地Active Directory要求

確保您的本地AD 滿足以下先決條件:

1. AD架構版本和森林功能級別必須是Windows Server 2003或更高版本。

若要顯示您計劃安裝AD Connect的伺服器的AD結構描述版本,請在Windows PowerShell

(Get-ADObject (Get-ADRootDSE).schemaNamingContext -Property objectVersion).objectVersion

中執行以下命令。該命令將返回一個介於13(適用於Windows 2000 Server)和88(適用於Windows Server 2019和Windows Server 2022)之間的數字。下圖顯示我的版本是88,這證實了我的DC正在運行Windows Server 2019。

因此,為了滿足此要求,最後一個命令必須返回至少30(Windows Server 2003)。有關Microsoft所有Windows Server操作系統的結構描述版本號的列表,請訪問查找當前結構描述版本。

在進行下一個檢查之前,請確認您的本地 AD樹系的森林功能級別至少為Windows Server 2003。要在PowerShell中獲取此信息,請運行以下命令。

(Get-ADForest).ForestMode

同時從Active Directory網域信任關係中獲取此信息。

2. Azure AD的網域控制器必須是可寫的

Azure AD不支援唯讀的網域控制器

因此,作為您的前置檢查的一部分,請確認您計劃用於Azure AD同步的DC是可寫的。

也請閱讀部署Azure AD監控工具

3. 啟用Active Directory回收站(可選)

這是一個可選但建議的要求。啟用Active Directory回收站使您能夠輕鬆恢復已刪除的對象。

啟用AD回收站是不可逆的。因此,在執行此可選任務之前,請確保您已打開先前的鏈接並閱讀了內容。然後,在進行下一步之前,考慮它對您的環境的影響。

要啟用Active Directory回收站,請打開Active Directory管理中心。然後,右鍵點擊您的根域名並選擇,啟用回收站

另請閱讀Get-AzureADAuditSignInLogs – 查找過去30天的登錄日誌 PowerShell

Azure AD Connect的逐步安裝和設置

在您繼續本節中的步驟之前,如果您正在生產環境中安裝和設置Azure AD Connect,請確保您已遵循上一節中概述的先決條件指南。

當您準備好繼續時,請按照以下步驟安裝和設置Azure AD Connect。

1. 下載Azure AD連接MSI安裝文件

從您計劃安裝AD Connect的已加入域的Windows服務器,點擊Microsoft Azure Active Directory Connect下載鏈接。

然後,點擊下載鏈接以下載MSI包文件。

2. 雙擊AzureADConnect.msi文件

當您雙擊MSI檔案時, Azure AD Connect的安裝程序便會啟動。在歡迎頁面上,同意許可條款後,點擊繼續

3. 安裝精靈選擇”快速設定”

閱讀安裝精靈使用快速設定時將執行的動作,如果您對此感到滿意,請點擊“使用快速設定”。

否則,若要自定義安裝,請點擊“自定義”。

另請閱讀SSPR:啟用Azure Active Directory自服務密碼重置

4. 自定義”安裝所需元件”頁面

如果您選擇了“自定義”選項,下一個螢幕將顯示自定義安裝需求的選項可用的自定義選項的標題本身就具有說明性。

要自定義某個選項,請勾選其旁邊的複選框。完成您的自定義後,點擊安裝

5. 在”用戶登錄”頁面中選擇選項

在這一頁上選擇您希望內部部署 AD 用戶如何登入Azure AD。如需了解每個選項的更多資訊,請閱讀Azure AD Connect 用戶登入選項

在本指南中,我選擇第一個選項 – 密碼雜湊同步。選擇此選項允許您的用戶使用其內部部署 AD 用戶名密碼登入Azure AD。

6. 登入Azure AD

接著會載入“連接到Azure AD”頁面。在UPN格式([email protected])中輸入您的Office 365用戶名;然後輸入您的密碼並點擊下一步。在安裝精靈的下一頁,您將連接到您的內部部署AD網域

另請閱讀Azure Active Directory (AD) 混合身分識別的工作原理

7. 選擇您想要同步的內部部署 AD 網域

“連接您的目錄”頁面上,點擊“添加目錄。”然後,在“AD 森林帳戶”頁面上,允許 Azure AD Connect 為您創建一個帳戶,選擇“創建新的 AD 帳戶。”這是微軟推薦的選項。

接下來,輸入一個來自內部部署 Active Directory用戶,該用戶是企業管理員組的成員,輸入用戶的密碼,然後點擊確定。請參考下面提供的第二張截圖以獲得視覺參考。

8. 確認您的選擇,然後繼續安裝

在成功添加您的內部部署AD 用戶後,Azure AD 安裝嚮導將您返回到“連接您的目錄”頁面。該頁面應該顯示您想要同步到 Azure AD 的內部部署 AD 網域名稱。

如果您對新增的域名感到滿意,請繼續進行Azure AD Connect的安裝和配置,方法是點擊下一步

9. 為內部部署用戶配置Azure AD登錄選項

接著,在“Azure AD登錄配置”屏幕上,選擇您希望內部部署Active Directory用戶如何登錄到Azure AD。默認選項是使用userPrincipalName

Azure AD安裝和配置嚮導默認選擇UPN選項。

如我在下面的第一張截圖中所見,為了讓內部部署AD用戶使用同一帳戶登錄到Azure AD,內部部署AD域名必須添加並配置在Office 365域頁面上。

I have just added my on prem AD domain name into my Office 365 registered domain list, then I clicked the “Refresh” icon. 

在下面的第二張螢幕截圖中,由於嚮導現在可以在Azure AD中看到與本地AD域名相同的域名,因此“Azure AD登錄配置”頁面的Azure AD域列現在顯示已驗證。

當您看到此屏幕與最後一張截圖相同時,請點擊下一步繼續。

另請閱讀啟用Active Directory啟用的用戶報告

10. 配置“域和OU過濾”

接下來是確定您希望同步到Azure AD的OU和容器。

Azure AD Connect默認選擇“同步所有域和OU”。但是,您可以選擇“同步選定的域和OU”來同步特定的容器。

在我的設置中,我只同步一個OU – “Writers” OU。下面的第二張截圖演示了這一步驟。

11. 配置Azure AD將如何唯一識別本地用戶

設定 Azure 如何識別您的現場AD 用戶。如果您的 Active Directory 用戶具有像 sAmAccountNames 這樣的唯一識別符,請在“選擇用戶應如何在您的現場目錄中被識別”部分中選擇默認選項。

I strongly recommend that you accept the default in the “Select how users should be identified with Azure AD.” section. When you’re done, click Next. 

I am accepting the defaults in both sections. 

12. 設置 Azure AD Connect 如何執行初始同步

決定是否需要執行測試同步或同步所有用戶設備。如果您正在試點部署 Azure AD Connect,請創建一個 AD 安全組並將您想要測試的用戶和設備添加到該組中。

然後,在“過濾用戶和設備”頁面上,選擇“同步所選”選項,輸入 AD 的名稱並選擇解析。最後,點擊下一步繼續。

或者,如果您準備好同步在步驟10中選擇的容器中的所有項目,請接受默認選項,即“同步所有用戶和設備”,然後點擊下一步繼續。在這個演示中,我選擇了這個選項。

同時閱讀如何將域控制器添加到現有域

13. 根據需要添加一些可選功能

在最後一頁上,勾選您希望添加的額外功能。要了解每個功能,請點擊幫助(?)圖標。完成後,點擊下一步

然後,在最後一頁上,審查您的選擇。

默認情況下,“配置完成後開始同步過程”複選框被選中。如果您正在生產環境中安裝此程序,我強烈建議也勾選“啟用預備模式”複選框。

對於我的演示安裝,我將接受默認設置並點擊“安裝”按鈕。

14. 等待Azure AD Connect安裝和設置

請注意,我已經將原文中的所有自定義標籤保留在翻譯文本中,並且沒有對它們進行任何解釋或修改。

現在請坐下等待Azure AD Connect安裝並設置您選擇的選項。如果您從頭開始按照這個指南操作,一切應該按計劃進行,您應該會收到“配置完成頁面”-請參見下面的第二張截圖。

在這個階段,您通過在“配置完成”頁面的右下角點擊“退出”按鈕來退出安裝向導。

15. 檢查安裝

最後,確認您在第10步中選擇的容器中的用戶已成功從您的本地AD同步到Azure AD。在我的演示中,我選擇將“Writers” OU中的用戶同步到Azure AD。

為了向您展示我的“Writers” OU中的用戶已成功同步到我的Azure AD Office 365租戶,我將我的本地AD和Azure AD的圖像放在下面的圖像中。

這個OU有兩個用戶。

感謝您閱讀如何安裝和設置Azure AD Connect的文章。我們現在將結束本文。

同樣閱讀Azure安全最佳實踐 – 符合性(檢查清單)

如何安裝和設置Azure AD Connect的結論

如果您有本地Active Directory和Azure AD租戶帳戶,同步兩者是有意義的。這就是Azure AD Connect的作用。 

雖然安裝Azure AD Connect需要一些計劃和時間,但在您準備環境以滿足要求時,它非常順利。這就是本文所做的。 

如果您按照本文中的步驟操作,我相信您已成功計劃、安裝和設置了Azure AD Connect。感謝閱讀!

Source:
https://infrasos.com/how-to-install-and-setup-azure-ad-connect-step-by-step/