如何强制 Azure AD Connect 同步 [演练]

使用同步服务管理器 GUI 或通过 PowerShell 将本地 Active Directory 域服务 (AD) 与 Azure AD 集成（并同步）。

有两种方法可以在本地使用 Azure AD - 传递身份验证（将身份验证请求直接发送到 Azure AD）或在本地 AD 和 Azure AD 之间同步密码哈希的目录同步。在这篇博文中，我们将介绍如何设置 Azure Active Directory Connect 软件来同步密码哈希值。

我们将介绍如何运行定期同步，以及如何使用 Azure AD Connect 强制密码哈希同步。

简而言之，要强制 Azure AD 与 PowerShell 同步，需要执行以下步骤：

1. 安装 Azure Active Directory 连接
2. 导入 ADSync PowerShell 模块
3. 运行 Start-AdSyncSchedule cmdlet 读取域控制器的密码哈希并与 Azure AD 同步。

如果您更喜欢通过视频学习，请务必观看这个内容丰富的 TechSnips 视频。

安装 Azure AD 连接

要将本地 Active Directory 同步到 Azure AD 租户，您首先需要下载并安装 Azure AD 连接软件。为此，您有两种选择。您可以从 Azure 门户下载它，也可以直接访问软件包。

从 Azure 门户下载

如果您选择不从 Microsoft 站点下载包，则需要从 Azure 门户获取包。

在门户中搜索“Azure Active Directory”。在“Azure Active Directory”部分中，单击“Azure AD Connect”。您将在此处找到同步状态部分，其中包含下载 Azure AD Connect 的链接。

同步工具

安装 Azure AD Connect 时，它将安装两个主要工具，可用于计划同步或强制同步。

• ADSync PowerShell 模块
• 同步服务管理器

使用这两个工具，可以设置定期（计划）同步来定期执行 Azure AD 同步。或者，您可以使用其中之一来强制进行临时同步。两种工具执行相同的行为。唯一的区别是，一种是通过命令行 (PowerShell)，一种是 GUI 应用程序。

设置 ADSync PowerShell 模块

安装 Azure AD Connect 时，它将安装一个名为 ADSync 的 PowerShell 模块。该模块包含允许您使用 PowerShell 管理同步过程的功能。

请注意，在本文中，我使用的是 Windows PowerShell 5.1。如果您使用旧版本，您的里程可能会有所不同。

与所有 PowerShell 模块一样，导入模块非常简单。但是，该模块不位于已知的Windows PowerShell 模块文件夹中。安装过程会将 PowerShell 模块安装在 C:\Program Files\Microsoft Azure AD Connect Sync\Bin 文件夹中。

要导入模块，请打开 PowerShell 控制台并输入以下内容：

PS51> Import-Module -Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -Verbose

要验证模块是否已导入，请使用 Get-Module。您应该会看到列出的 ADSync 模块。

默认 Azure AD 同步计划

默认情况下，Azure AD Connect 创建一个计划任务，每 30 分钟运行一次增量同步（仅同步不同的对象）。您可以通过打开任务计划程序找到计划。您应该注意到 Microsoft -> Windows 下有一个名为 Azure AD Sync Scheduler 的计划任务。

您可以更改此计划，但请记住 30 分钟是支持的最低间隔。目标是设置同步间隔，以便它经常发生以获取更改。如果同步时间太短，您将面临网络饱和的风险。

调度程序处理两个任务：

• 同步周期 - 导入、同步和导出更改的过程。
• 维护任务 - 续订密码重置和设备注册服务 (DRS) 的密钥和证书。它还清除操作日志中的旧条目。

调度程序本身始终在运行，但可以将其配置为仅运行其中一项任务或不运行其中一项任务。

强制 Azure AD Connect 同步

有时您可能需要强制同步对象。例如，如果您需要拥有自己的同步周期进程，则可以在调度程序中禁用此任务，但仍运行维护任务。

若要使用 Azure Active Directory Connect 强制同步密码和其他信息，可以使用同步服务管理器或 PowerShell。

强制与同步服务管理器同步

在安装了 Azure AD Connect 的服务器上，导航到“开始”菜单并选择“AD Connect”，然后选择“同步服务”。

乍一看，它看起来令人难以抗拒，但您只关心连接器选项卡和右侧的选择窗格。查看右侧窗格，您可以看到用于停止（停止）和启动（运行）同步的选项。

请注意，当同步周期运行时，您无法更改配置。停止当前周期并没有什么害处，并且挂起的更改将在下一次运行时处理。

使用 PowerShell 获取同步状态

在强制同步之前，最好先获取当前同步周期的状态。如果您在当前运行的同步过程中强制同步，则可能会在以后遇到一些问题。

要查看当前设置，请在安装了 Azure Active Directory Connect 的服务器上打开 PowerShell 控制台并运行 Get-ADSyncScheduler。您将看到一些属性，每个属性都提供有用的信息。

有相当多的信息需要解析。让我们逐行看一下：

• AllowedSyncCycleInterval - 这是同步之间的最短时间。默认情况下，它设置为 30 分钟，这是允许的最短时间。
• CurrentlyEffectiveSyncCycleInterval - 当前有效的计划。如果它不比 AllowedSyncInterval 更频繁，则它与 CustomizedSyncInterval（如果设置）具有相同的值。如果您使用 1.1.281 之前的版本并更改 CustomizedSyncCycleInterval，则此更改将在下一个同步周期后生效。从版本 1.1.281 开始，更改立即生效。
• CustomizedSyncCycleInterval - 如果您希望调度程序以默认 30 分钟以外的频率运行，则设置此选项。
• NextSyncCyclePolicyType - 此参数定义下一次运行应处理的内容。如果下次运行是完全同步，则初始会显示。
• NextSyncCycleStartTimeInUTC - 这是调度程序开始下一个同步周期的时间。
• PurgeRunHistoryInterval - 设置操作日志的保留时间。默认保留日志 7 天。
• SyncCycleEnabled - 指示调度程序是否正在运行导入、同步和导出进程作为其操作的一部分。
• MaintenanceEnabled - 维护启用会更新证书/密钥并清除操作日志。
• StagingModeEnabled - 如果启用，它将禁止导出运行。同步。
• SchedulerSuspished - 设置为暂时阻止调度程序运行。

强制与 PowerShell 同步

通过检查 NCSC 密码列表来查找 Active Directory 中泄露和不安全的密码。

强制同步时，您有多种选择。您可以强制完全同步或增量同步。完全同步会检查 AD 中的所有对象。增量同步仅检查和同步自上次运行以来的更改。

要启动完全同步，您可以使用 Start-AdSyncSyncCycle cmdlet。使用 PolicyType 参数根据您要启动的同步选择 Full 或 Delta。任一方法都会强制 Office 365、用户身份帐户和所有其他属性进行 AD 同步。

PS51> Start-ADSyncSyncCycle -PolicyType Full
PS51> Start-ADSyncSyncCycle -PolicyType Delta

停止同步

如果您想停止正在进行的同步，还可以使用 Stop-ADSyncSyncCycle cmdlet。

PS51> Stop-ADSyncSyncCycle

概括

无论选择使用 GUI 还是 PowerShell，现在都应该了解使用 Azure Active Directory Connect 工具通过 Azure AD 计划或强制与本地 Active Directory 环境同步的各种方法。