Azure AD Connect - 首选域控制器

Azure AD Connect 使用 Office 365 复制 Active Directory。

但是，您的 Azure AD Connect 从哪个域控制器获取其 Active Directory 信息？

如果希望将更改的属性从本地 AD 快速复制到 Office 365，则需要确保 Azure AD Connect 从“知情”的域控制器获取其信息。

例如，假设您在 DC-02 上更改用户 A 的代理地址并立即使用 PowerShell 触发 Azure AD Connect 复制。如果 Azure AD Connect 从 DC-01 复制 AD 属性，您的更改可能不会包含在同步中。

如何执行快速 Office 365 同步

基本上有两种方法可以实现将 AD 更改快速复制到 Office 365：

1. 确保在触发 Azure AD Connect 同步之前将更改复制到所有域控制器，或
2. 确保在 Azure AD Connect 从中获取信息的域控制器上进行更改

在第一种情况下，为了确保您的更改复制到所有 DC，您可以使用 AD 工具中提供的 RepAdmin 命令（通过 RSAT 安装）。基本上，您需要为每个 DC 运行以下两个命令，以确保拉取和推送同步：

RepAdmin /SyncAll /e [dc-name]
RepAdmin /SyncALl /e /P [dc-name]

同步所有 DC 可能有点乏味。因此，最好使用第二种解决方案，并直接在 Azure AD Connect 使用的域控制器上进行更改。

识别 Azure AD Connect 使用的域控制器

要确定 Azure AD 连接正在与哪个域控制器通信，可以使用以下 PowerShell 命令：

((Get-ADSyncConnector).Partitions.Parameters | ? {$_.Name -eq 'last-dc'}).value

该命令的输出将类似于以下内容：

PS C:\> ((Get-ADSyncConnector).Partitions.Parameters | ? {$_.Name -eq 'last-dc'}).value
DC-01.gigacorp.local

此输出显示 Azure AD Connect 与之通信的最后一个域控制器的名称。

有了这些信息，您就可以使用 AD 用户和计算机直接连接到域控制器。

检查您是否已连接到与 Azure AD Connect 相同的域控制器：

如果没有，您可以右键单击您的域并选择连接到 Get-ADSyncConnector 命令输出中看到的域控制器：

现在您知道您正在直接在 Azure AD Connect 使用的域控制器上进行编辑，您可以立即触发 Azure AD Connect 同步以快速查看 Office 365 中的更改。

将 AD 更改同步到 Office 365

如果您正在运行 Easy365Manager，则 Azure AD Connect 同步在用户和组属性中均可用，因此这是一个简单的一键操作：

如果您没有 Easy365Manager，则需要使用 PowerShell 手动连接到 Azure AD Connect 服务器并运行以下命令：

Start-ADSyncSyncCycle -PolicyType Delta

设置首选 DC

您应该始终让 Azure AD Connect 决定哪个域控制器是 AD 更改的合适来源。但可以对 Azure AD Connect 服务器上选择的域控制器进行硬编码。

使用 Azure AD Connect 同步服务管理器配置首选 DC。

在主页中，选择连接器，右键单击您的 Active Directory 连接器，然后选择属性：

从连接器属性窗口中，选择“配置目录分区”，选择您的 AD 目录分区，选择“仅使用首选域控制器”复选框，单击“配置”并将所需的域控制器添加到列表中：

完成此配置后，您的 Azure AD Connect 服务器将坚持使用您已配置的 PreferredDC。

尽管这听起来很诱人，但这也意味着告别 DC 故障转移和容错。因此最好不要选中此选项。

概括

如果需要将 AD 更改快速复制到 Office 365 环境，请确保在 Azure AD Connect 服务器使用的域控制器上执行更改。

如果使用 Easy365Manager，请确保 AD 用户和计算机连接到 Azure AD Connect 使用的同一域控制器。

这将确保立即执行用户和组属性中可用的简单一键同步。