Azure AD Connect的安装部署
更新:HHH   时间:2023-1-7


这篇文章给大家分享的是Azure AD Connect的安装部署,相信大部分人都还不知道怎么安装部署,为了让大家学会,给大家总结了以下内容,话不多说,一起往下看吧。

部署Azure AD Connect之前,需要考虑以下7个考量点:

1.Azure AD
○ 你需要使用Azure Portal或者Office 365 Portal来管理Azure AD Connect
○ Domain,需要添加和验证一个有效的domain,不能使用default domain (contoso.onmicrosoft.com)
○ 一个Azure AD默认是50 K Objects,当你verify domain时,objects limit会达到300 k objects,如果你在Azure AD中需要更多的Objects,需要提交ticket为微软放开限制。
2.On-premise data
○ 在同步Azure AD和Office 365之前,建议使用IdFix来识别Active Directory中重复和格式化问题等错误
○ 确保Azure AD中启用了Sync Features
§ On Premises:Azure AD Connect sync(sync engine)
§ Azure AD:Azure AD Connect Sync Service
3.On-Premises Active Directory
○ AD Schema 版本和Forest functional level必须是Windows Server 2003以及以上版本
○ 如果你计划使用Password writeback,那么domain controller必须是Windows Server 2008 R2以及以上
○ 确保Azure AD使用的domain controller是可写入权限
○ 推荐启用Active Directory Recycle Bin
4.Azure AD Connect Server
○ Azure AD Connect不能安装在Small Business Server,必须是Windows Server 2012 standard或者以上,
○ 不推荐Azure AD Connect安装在Domain Controller上,需将部署Azure AD Connect的Server作为domain member
○ 如果部署ADFS,那么Server必须安装在Windows Server 2012以及以上版本
○ 如果部署ADFS,需要SSL Certificates以及配置,name resolution
○ 如果global admin启用了MFA,那么需要在浏览器的trusted site list里信任该URL
https://secure.aadcdn.microsoftonline-p.com
○ (单项同步,非必要步骤)Microsoft建议加强Azure AD Connect Server,降低安全***
§ Securing administrators groups
§ Securing built-in administrator accounts
§ Security improvement and sustainment by reducing attack surfaces
§ Reducing the Active Directory attack surface

5.Azure AD Connect 需要的SQL Server
○ Azure AD Connect 需要SQL Server Database用来存储identity data,我们也可以在部署时直接选用Express模式,会使用SQL Server Express做存储,有10 GB存储空间,可以管理100,000个objects。如果你需要管理更多的Directory objects,那么需要部署SQL Server(Microsoft SQL Server from 2012)
6.Accounts
○ Azure AD Global Administrator 账户
○ Active Directory Admin on premise(Exchange Admin)
7.Connectivity
DNS服务器必须能够解析到on-premises Active Directory和Azure AD endpoints的名称。
○ 如果你的内部网有防火墙,需要在Azure AD连接服务器和你的域控制器之间打开端口

    ○ Azure AD Connect 和 Azure AD通信协议和端口

部署Azure AD Connect 相关总结:

1.部署Azure AD Connect之前,需要在Azure AD (Office 365) Add and verify Domain (同时也需要Godaddy进行相关配置),否则在配置Azure AD Connect时 sign in Azure AD 会失效。
 

2.https://www.microsoft.com/en-us/download/details.aspx?id=47594 下载并安装Azure AD Connect
3.如果你是single-forest domain并且使用Password hash synchronize作为身份验证,那么可以使用默认的Express settings进行安装和部署Azure AD Connect
 

4.如果从On Premise Active Directory 同步用户+ attributes+organization时非全部同步,而是按照OU分批同步或者 user attribute 同步有特殊要求,那么需要在最终configure 步骤,取消勾选“start the synchronization process when Configuration completes”复选框

 

上文描述的就是安装部署Azure AD Connect的步骤,具体使用情况还需要大家自己动手实验使用过才能领会。如果想了解更多相关内容,欢迎关注天达云行业资讯频道!

返回云计算教程...