如何迁移到 Azure AD Connect 云同步

Azure AD Connect 云同步使用从 Azure Active Directory 管理中心完全配置和控制的轻量级代理替换了现有的 Azure AD Connect 软件。

在本教程中，我将向您展示如何迁移到 Azure AD Connect 云同步并删除现有软件。

Azure AD Connect 云同步如何工作？

Azure AD Connect 云同步是传统 Azure AD Connect 软件应用程序的快速部署和轻量级替代品，可将本地身份同步到 Azure Active Directory。

目前，它支持常见（不太复杂）的混合身份场景，并且需要最少的基础设施来运行。

您只需在本地 Active Directory 环境中部署代理，然后所有设置和配置都存储在云中并通过 Azure Active Directory 管理中心进行管理。

局限性

由于云同步工具相当新，因此与现有软件应用程序相比，使用它仍然存在一些限制。这些限制包括：

• 无法连接到其他 LDAP 目录
• 不支持设备对象
• 不同步扩展属性
• 无法按属性值过滤
• 不支持组写回
• 不支持设备写回
• 不支持Exchange混合写回
• 仅限 150,000 个对象
• 仅限 50,000 名成员的团体
• 不支持合并多个域的用户属性

Azure AD Connect 云同步的优势

由于微软计划将其身份同步工具完全迁移到云端，因此其主要重点是投资开发新的云同步工具。因此，对于任何限制，随着解决方案的进一步开发，您可以预期这些限制将包含在未来的更新中。

一些主要好处包括：

• 部署快速且简单
• 能够连接到多个断开连接的 AD 林
• 轻量级安装模型，在大型部署中不需要 SQL 后端
• 可以在本地部署多个代理以实现高可用性，只需最少甚至无需额外配置
• 由于部署要求较低而节省成本
• 支持收购、合并等更复杂的场景
• 可以与 Azure AD Connect 共存

场景：现有的 Azure AD Connect 服务器

在我们的场景中，我有一个相当传统的 Azure AD Connect 配置。有一个安装了 Azure AD Connect 的域控制器，它将特定 OU 同步到我的 Microsoft 365 租户。

在目标 OU 中，我有 3 个使用 ourcloudnetwork.co.uk 的 UPN 配置的用户帐户。源同步属性是 mS-DS-ConsistencyGuid 属性，并且密码哈希同步和密码写回均已启用。

下面您可以看到我选择的 OU 的配置。

在这里您可以看到我当前的 Azure AD Connect 同步设置：

步骤 1：为 Azure AD Connect 配置暂存模式

我将首先将现有的 Azure AD Connect 服务器设置为暂存模式。这样我们就知道通过部署新的 Azure AD Connect 云同步所做的任何更改都不会受到我们现有服务器的影响。

1. 首先打开服务器上的 Microsoft Azure Active Directory Connect。

2. 选择配置。

3. 选择配置暂存模式，然后单击下一步。

4. 使用您的Azure AD 全局管理员用户登录，然后单击下一步

5. 选中启用暂存模式，然后单击下一步。

6. 最后，确保选中开始同步过程复选框，然后单击配置，然后退出。

要验证配置更改是否成功，请打开 PowerShell 并运行 Get-ADSyncScheduler。您将看到 StagingModeEnabled 属性设置为 True。

步骤 2：下载并安装新的同步代理

现在我们的现有服务器处于临时模式，让我们看看下载和配置轻量级 Azure AD Connect 云同步代理并将其安装在我们使用现有软件的同一服务器上。

1. 首先登录 Azure Active Directory 管理中心：https://aad.portal.azure.com/

2. 选择Azure Active Directory，然后单击Azure AD Connect。

3. 选择管理 Azure AD 云同步， 这将带您进入云同步配置页面。

4. 要下载 Azure AD Connect 云同步代理的安装介质，请单击下载代理。

5. 在现有服务器上，复制下载的文件并运行安装程序。出现提示时，同意条款和条件并单击安装。

6. 部署向导启动后，单击下一步。

7. 在“连接Azure AD”页面上，身份验证框将立即提示您使用全局管理员帐户登录。如果登录提示未自动启动，请单击身份验证。

8. 在“配置服务帐户”页面上，选择创建 gMSA 选项，然后输入 Active Directory 域的域管理员凭据并单击下一步。

9. 您应该看到 Active Directory 已连接，如果没有连接，请单击添加目录，然后单击下一步。

10. 在最后一页上，单击确认。在屏幕上，您将看到将创建的组管理服务帐户的名称。

配置大约需要 2 分钟才能完成，所有后续设置都在 Azure Active Directory 管理中心进行配置。

步骤 3：配置 Azure AD Connect 云同步

在我们的服务器上部署同步代理后，其余配置将通过 Azure Active Directory 管理中心完成。

首先返回 Azure AD Connect 云同步配置页面。通过登录 https://aad.portal.azure.com/ 并选择 Azure Active Directory > Azure AD Connect > 管理 Azure AD 云来访问此内容同步。

1. 您将看到新的配置选项不再呈灰色。选择新配置。

2. 选择您要同步的 Active Directory 域（可能只有 1 个），启用密码哈希同步（如果您之前已启用），然后单击创建。

3. 创建云同步配置大约需要 30-60 秒，您将自动重定向到高级配置页面。

4. 从用户范围开始逐步进行设置。单击编辑范围过滤器。

5. 右侧将出现一个新窗口。您可以在此处选择按所有用户、安全组或组织单位进行过滤。我将按组织单位进行过滤，因此我需要 OU 对象的“专有名称”。

6. 要获取目标 OU 的可分辨名称，我需要在服务器上打开活动目录用户和计算机。

7. 在 Active Directory 用户和计算机中，单击查看，然后单击高级功能。

8. 右键单击目标 OU 并选择属性。选择属性编辑器选项卡并双击distinguishedName。

9. 复制可分辨名称并将其粘贴到范围用户的配置中，然后单击添加。如果您有其他想要同步的 OU，请重复此过程。正确选择此选项非常重要，因为如果不包含所有 OU 或安全组，您最终可能需要恢复已删除的用户帐户。

10. 您可以将“管理属性”选项保留为默认，除非您之前已进行过其他自定义。 确保启用同步密码哈希。

11. 值得测试配置用户以确保您的设置按预期工作。选择配置用户。

12. 按照相同的步骤查找可分辨名称，但这次是针对目标 OU 内的用户帐户执行此操作。在按需配置页面上复制可分辨名称并将其分页，然后单击配置。

13. 大约 10-15 秒后，配置应完成。单击每个阶段的查看详细信息按钮，以确保设置按预期显示。如果您满意，请单击完成。

14. 配置电子邮件地址以接收错误通知。我还强烈建议您将意外删除阈值从默认值 (500) 降低到更合理的值。

15. 如果准备就绪，请单击第 5 步中的启用，然后单击页面顶部的保存。

步骤 4：删除旧的 Azure AD Connect 代理

Azure AD Connect 云同步代理安装并成功运行后，您就可以卸载旧的 Azure AD Connect 软件。

1. 在您的服务器上，打开控制面板并选择卸载程序。

2. 选择Microsoft Azure AD Connect，然后单击卸载。

3. 将所有选项保留为默认值，然后单击删除。

4. 删除后，您应该在程序和功能中看到的唯一类似程序是新的 Microsoft Azure AD Connect 配置代理 和代理更新程序。

查看云同步状态

要查看云同步的状态，您现在必须通过 Azure Active Directory 管理门户执行此操作。按照前面的步骤访问 Azure AD Connect 云同步页面，或单击此处：

https://aad.portal.azure.com/#view/Microsoft_AAD_Connect_Provisioning/ProvisioningManagementBlade

在 Azure AD Connect 云同步页面上，单击配置的状态。

同步完成后，您应该会在右侧的弹出窗口中看到结果。

一些常见问题解答

每个配置代理可以使用相同的 gMSA 帐户吗？

是的，您可以为同一域内的代理重复使用 gMSA 帐户。但是，需要在每个单独的域中创建一个新的 gMSA 帐户。