Azure AD Sync（PART1）

AAD Sync是我们的新目录同步工具，可简化将Azure AD连接到Windows Server AD的过程。使连接复杂的多林部署更加简单。

• 现在可以将Active Directory和Exchange多林环境扩展到云中。
• 根据所需的云服务控制对哪些属性参数进行同步。
• 选择要通过域，OU等进行帐户的同步。
• 通过映射属性并控制相关参数设置同步策略规则。
• 预览AAD Premium并重置密码

首先，请确保您已卸载旧版本的DirSync。然后，要安装AADSync，您需要一台运行Windows Server操作系统的计算机。

• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2

安装AAD Sync的目标计算机可以是独立计算机，成员服务器或域控制器。并且必须安装以下组件：

• .NET 4.5
• PowerShell（最好是PS3或更高版本）

注意：

该工具需要一个SQL Server实例来存储身份数据。默认情况下，将安装SQL Express LocalDB，并在安装过程中在本地计算机上创建服务的服务帐户。

由于Express有10GB的大小限制（它使您可以管理大约100.000个对象。）如果您期望管理更多的目录对象，则需要将安装过程指向 SQL Server DB版本。

安装和配置AADS​​ync

1-从这里下载工具。

2-执行MicrosoftAzureADConnectionTool.exe。

3-转到“欢迎使用Azure AD Sync”对话框后，同意许可条款，然后单击“安装”。



4-一旦安装，该工具将启动（可能需要几秒钟），一旦您连接到Azure AD，请提供凭据以连接到Azure AD目录。在Azure的目录SysAdmin中使用了Global Admin。



5-和我们假设的一样，需要向“ 连接到AD DS”对话框提供本地目录林域的凭据。然后单击“ 添加林 ”按钮，出现域名后。点击下一步。



6-在唯一标识用户中



6.1- 跨林匹配功能允许您定义如何在Azure AD中表示ADDS林中的用户。

一个用户可能在所有林中仅代表一次，或者具有已启用和已禁用帐户的组合

6.2-可以使用“ 与Azure AD匹配”选项来指定要用于身份联合的属性。sourceAnchor属性是在用户对象的生存期内不变的属性。在单一目录林和环境中，并且帐户永远不会在目录林之间移动，那么objectGUID是一个很好的选择。如果用户在目录林或域之间移动，则必须选择替代属性。

userPrincipalName属性是Azure AD中用户的登录ID。默认情况下，使用ADDS中的userPrincipalName属性。如果此属性不可路由或不适合作为登录ID，则可以在安装指南中选择其他属性（例如mail）。

单击下一步转到可选项

7-如果具有混合Exchange环境，则在“可选功能”对话框中，可以选择“ Exchange混合部署”。对于我们来说，我们不会启用此设置。密码回写是Azure Active Directory Premium功能。（我们没有在测试环境中启用它，因此我将其保留为选中状态），如果要查看或限制与Azure AD同步的属性，请选择Azure AD应用程序和属性筛选。然后，您将在向导中获得另外两个页面。



8-配置屏幕可开始配置过程。只需点击“ 配置 ”



它将连接并配置同步规则，并显示“ Finished ”屏幕。如果您单击“完成”后离开“立即同步”，它将开始同步过程



在此阶段退出Windows，然后重新登录。



找到并启动Azure AD同步同步服务。



打开连接器选项卡。请参阅AD域服务连接器。双击以查看属性。



导航到“配置目录分区”。选择“容器”。



输入您的凭据。



现在，可以选择您的OU。选择确定以关闭对话框。

选择运行=>选择“完全导入”。

查看成功导入到Azure。但是，这不是立即的，需要一些时间才能使用户在Azure中可用（我们也可以尝试强制进行同步）。

以前，使用DirSync时，我们使用了“ start-onlinecoexistencesync”。现在已在AAD Sync中将其替换为“ DirectorySyncClientCmd.exe”。



导航到C： Program Files Microsoft Azure AD Sync Bin并启动DirectorySyncClientCmd.exe

最后，我们已经在Azure中同步了本地目录。



Azure 配置管理系列 AD Sync（PART2）