实现目录同步

更新日期：2015 年 11 月 11 日，
更新日期：2018 年 4 月 20 日

在之前的博客中，我解释了云身份、链接身份和联合身份之间的区别。云身份的授权来源（即管理帐户的位置）是 Microsoft Online，而对于链接和联合身份，授权来源是您的本地 Active Directory。要在 Azure Active Directory (Office 365) 中获取这些帐户，您必须在 Active Directory 和 Azure Active Directory 之间设置目录同步。

如前所述，我更喜欢使用专用的 DirSync 服务器，而不是在域控制器上安装 DirSync（这是可能且受支持的）。使用专用 DirSync 服务器时，您可以保持域控制器相同并在域控制器上工作，同时不会影响 DirSync 服务器。我们现在将构建如下配置：

在本地 Active Directory 和 Windows Azure Active Directory 之间设置目录同步时，有两个选项：

• DirSync 作为一个可以从 Microsoft 在线门户下载的工具。这是“原始”DirSync 工具，可以安装在域控制器或专用 DirSync 服务器上。该工具将在（不久的）将来退役。
• Microsoft Azure Active Directory (WAAD) 同步服务，新的 DirSync 工具，可从 http://www.microsoft.com/en-us/download/details.aspx?id=44225 下载。该工具可以选择将多林拓扑与 Office 365 中的一个租户同步。

注意。 2015 年 6 月 24 日，微软发布了 Azure AD Connect 和 Connect Health。 Azure AD Connect 是目录同步的最新版本。本博客基于之前的 Azure AD Sync，但我强烈建议您查看 Azure AD Connect 工具（有很多相似之处），您可以从下载中心下载该工具。

于 2018 年 4 月 20 日添加注释。Azure AD Connect 现在是实现目录同步的唯一受支持的版本。它会定期更新，并可通过 Azure AD Connect 下载。如果执行默认安装，Azure AD Connect 将在新版本可用时自动更新。

所有版本都是 Forefront Identity Manager (FIM) 的衍生版本，当您对这些工具进行深入研究时，您将明确地看到与 FIM 的相似之处，例如 Metaverse 和管理代理。

有关所有目录集成工具及其所有可用功能的有趣概述，请访问 https://msdn.microsoft.com/library/azure/dn757582.aspx。

设置 Active Directory 同步包含七个步骤：

1. 准备 Active Directory 同步
2. 验证域名
3. 激活 Active Directory 同步（不再需要）
4. 安装并运行 IdFix DirSync 错误修复工具
5. 安装并配置目录同步工具
6. 验证目录同步
7. 激活同步用户

这些步骤将在以下部分中更详细地讨论。

1. 准备 Active Directory 同步

准备 Active Directory 同步涉及先决条件，例如 Windows 版本、林和域功能级别（FFL 和 DFL）、对象限制、PowerShell 和 .NET Framework。先决条件和准备工作的完整列表可以在以下 TechNet 文章中找到：http://technet.microsoft.com/en-us/library/jj151831。

我想指出的一项要求是需要正确的用户主体名称或 UPN。本地 UPN 后缀必须与 Office 365 域匹配，并且域名必须完全可路由到您的本地环境。

如果您的 Active Directory 域名为 contoso.local，则用户的 UPN 将为 @contoso.local，因此它是一个不可路由的域。如果是这种情况，您必须将 UPN 后缀添加到您的 Active Directory。因此，如果您的外部 (SMTP) 域名是 contoso.com 并且您也在 Office 365 租户中使用此域，则必须使用 Active Directory 域将其添加到您的 Active Directory和信任 MMC 管理单元。

与此相关的另一个陷阱是 Active Directory 中使用的 。我经常遇到用户名中包含空格字符的客户，例如“john [email protected]”。在这种情况下，不仅需要更改 UPN 后缀，还需要更改用户名。这仅适用于 UPN，SamAccountName 可以继续与空格字符一起使用，尽管我个人认为这不是最佳实践。

只要有可能，我建议使用用户的电子邮件地址作为用户的 UPN，以使用户更方便。作为一名 IT 专业人员，我们知道正在发生什么以及这一切意味着什么，而普通最终用户则不知道。有关命名约定的更多信息，请参阅以下 TechNet 文章：http://technet.microsoft.com/en-us/library/jj151831

2. 验证域名

第二步是验证 Office 365 中的域并检查它们是否配置正确。这在 Microsoft 在线门户中显示，如下图所示：

3.激活Active Directory同步（不再需要）

注意。不再需要此步骤，因为它现在由 Azure AD Connect 自动激活。

此步骤是在您的租户中启用 Active Directory 同步的位置。第三步，激活 Active Directory 同步单击激活。将显示警告弹出窗口，如果您确实想要激活 Active Directory 同步，请再次单击激活。

成功后会显示在门户上，如下图所示：

4. 安装并运行 IdFix DirSync 错误修复工具

IdFix 工具可在启动 Active Directory 复制后查找本地 Active Directory 中可能导致复制或链接身份出现问题的问题。该工具将发现问题并将其显示在屏幕上。需要时，您可以将结果存储在 CSV 或 TXT 文件中。单击下载并将文件存储到本地硬盘，然后使用以管理员身份运行选项运行应用程序。无需安装该工具，只需将其解压到某个目录并运行即可。当您点击“查询”时，将显示结果：

正如您在上面的屏幕截图中看到的，顶级域名存在一些问题，在我的测试环境中为 .local。解决这些问题后，或者确保仅复制配置正确的帐户后，您可以继续下一步。

您也可以继续而不修复任何内容，但当 Office 365 租户中出现与用户帐户相关的意外问题时，您不应感到惊讶。我将在以后的博客文章中重新讨论这些问题。

5.安装并配置目录同步工具

注意。 Windows Azure Active Directory 同步服务（什么名字）不再受支持，并被 Azure AD Connect 取代。两者之间有重叠，因此我决定将其留在这里。有关我网站上的 Azure AD Connect 的最新博客，您可以在此处关注 Azure AD Connect 标签……

正如本文开头所述，您应该使用 Windows Azure Active Directory 同步服务而不是 DirSync。您可以在此处下载 WAAD 同步服务：http://www.microsoft.com/en-us/download/details.aspx?id=44225

请注意，您需要安装.NET Framework 3.5。 SP1 和 .NET Framework 4.5（Windows 2012 R2 上默认安装），然后再继续安装。如果安装失败，您将看到以下错误消息。

下载该工具 (MicrosoftAzureADConnectionTool.exe) 并以提升的权限启动它。您将看到 DirSync 服务器的桌面上出现一个图标，几秒钟后将出现向导。选择安装路径，选中我同意许可条款复选框，然后单击安装继续。

SQL Express 将自动安装。这是存储虚拟实境数据的地方。

在某一时刻，您必须输入用于连接到 Windows Azure Active Directory 的凭据。这可以是默认租户管理员，但您也可以为此创建专用帐户。该帐户需要是全局管理员的成员，并确保该帐户的密码永不过期。

要将此服务帐户的密码设置为永不过期，您必须使用 PowerShell 登录到 Azure Active Directory 并输入以下命令：

Set-MsolUser -UserPrincipalName [email protected] -PasswordNeverExpires $true

您还需要连接到本地 Active Directory。仅在安装该工具时才需要管理员凭据，这些凭据在配置后将被删除。在安装过程中，将创建并配置本地用户帐户（在 DirSync 服务器上）以运行 WAADSync 服务，同时还会创建域用户帐户（MSOL_）。

输入林名称、用户名和密码，然后单击添加林。

单击下一步继续。

如果您有一个复杂的环境，则有多个选项可以匹配（现有）云身份和 Active Directory 帐户，但对于典型环境，您可以使用默认设置：

AADSync 服务具有多个可配置的可选功能，例如 Exchange 混合部署或密码同步。 密码写回功能是Azure Active Directory Premium功能（我将在后面的博客文章中重新讨论这一点）。在这篇博文中，我们将仅选择前两个选项：

有关可选功能的完整概述，您可以访问以下文章：https://msdn.microsoft.com/en-us/library/azure/dn757602.aspx#BKMK_OptionalFeatures

当您单击下一步时，向导即将完成并显示概述：

单击“配置”开始配置目录同步。完成后，请确保在单击完成之前取消选中立即同步选项。

此时，由于组成员身份发生更改，您必须注销并重新登录。这些仅在登录后应用......

默认情况下，DirSync 工具希望将整个 Active Directory 与 Azure Active Directory 同步。在 Azure Active Directory 中，您最不想看到的就是所有 Active Directory 服务帐户、Exchange 系统邮箱帐户等。可以仅同步本地 Active Directory 中选定的 OU。要实现此目的，您必须启动同步服务管理器，该管理器位于 C:\Program Files\Microsoft Azure AD Sync\UIShell\MIISClient.exe。启动时选择选项卡连接器。

右键单击Active Directory 连接器，选择属性，然后选择配置目录分区：

单击容器并输入 DirSync 服务帐户（或域管理员）的凭据：

这不是您想要的，Active Directory 中的所有 OU 都被选择进行复制：

取消选中域，所有容器都将被取消选中。检查您要同步的 OU：

单击两次“确定”完成配置并存储配置。您可以等待三个小时或手动启动复制。为此，请使用提升的权限打开命令提示符，然后从 C:\Program Files\Microsoft Azure AD Sync\Bin 启动 DirectorySyncClientCmd 工具：

笔记。 DirectorySyncClientCmd 工具不再可用。现在可以通过 PowerShell 使用目录同步命令，如我的博客强制目录同步中所述。

当您登录 Microsoft 在线门户并选择“活动用户”时，您将看到从本地 Active Directory 复制的帐户。

注意。在这篇博文的开头，我解释了您必须正确设置 Active Directory 中用户帐户的 UPN 后缀。如果您未能这样做并启动目录同步，您将看到类似以下内容：

用户帐户被复制到 Azure Active Directory，但由于 AAD 不知道如何处理 .local TLD，因此用户名会自动设置为租户域名。

6. 验证目录同步

要验证 Active Directory 同步，您可以检查 Microsoft 在线门户，如上一节所示。目录同步工具还会在服务器的事件日志中写入条目。当同步周期完成时，应用程序事件日志中会记录一系列 eventID 904 (DirectorySyncClientCmd)，每个事件 ID 为“已完成”、“已完成”或类似内容，具体取决于已完成的周期部分。

7. 激活同步用户

最后一部分是激活同步用户。 DirSync 工具仅负责用户帐户的同步，但它不分配任何许可证，因此您必须通过 Microsoft 在线门户或 PowerShell 手动处理此问题。

概括

您可以使用 Azure Active Directory 同步服务工具在本地 Active Directory 和 Office 365 之间设置目录同步。在实施目录同步之前，您必须确保正确满足所有先决条件，尤其是 UPN 后缀和用户名。

安装该工具相对容易和简单，一旦运行，您就可以保持它的运行，而无需太多的系统管理员交互，基本上是“一劳永逸”的配置。

更新日期：2015年6月27日和2018年4月20日