安装 Azure Active Directory Sync 服务
更新时间:2015 年 7 月 22 日
重要
本主题即将存档。
有一个名为“Azure Active Directory 连接”的新产品,用于替换AADSync和 DirSync。
Azure AD Connect 整合了以前作为 DirSync 和 AAD Sync 发布的组件和功能。
将来的某个时候,对 Dirsync 和 AAD Sync 的支持将结束。
这些工具不再使用功能改进单独更新,将来的所有改进都将包含在 Azure AD 连接更新中。
本主题旨在向你提供在你的环境中成功安装 Azure AD Sync 所需的所有信息。
安装要求
本节旨在列出在你的环境中安装 Azure AD Sync 时需要满足的要求。
通过 Azure AD Sync,你可以将本地 Active Directory 域服务与 Azure AD 目录进行集成。
因此,你需要具有对本地 Active Directory 域服务的访问权限,以及对安装了 Azure AD 目录的有效 Azure 订阅的访问权限。
若要安装 Azure AD Sync,你需要运行 Windows Server 操作系统的计算机。
支持以下版本:
Windows 2008 Server
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
你的计算机可以是独立计算机、成员服务器或域控制器。
需要安装以下组件:
.Net 4.5.1
PowerShell(需要 PS3 或更高版本)
你需要使用在你的计算机上具有本地管理员权限的帐户来安装 Azure AD Sync。
Azure AD Sync 需要一个 SQL Server 数据库来存储标识数据。 默认情况下,会安装一个 SQL Express LocalDB(SQL Server Express 的轻量版本),并且会在本地计算机上创建该服务的服务帐户。
SQL Server Express 的大小限制为 10GB,允许你管理大约 100,000 个对象。
如果你需要管理更多的目录对象,则需要在安装过程中指定安装其他版本的 SQL Server。
AAD Sync 支持从 SQL Server 2008 到 SQL Server 2014 的各种版本的 Microsoft SQL Server。
开始之前
你必须完成以下步骤,然后才能安装 Azure AD Sync:
创建用于连接到 AD DS 的 AD 帐户
创建用于连接到 Azure AD 的帐户
以下各节提供了相关步骤。
创建用于连接到 AD DS 的 AD 帐户
配置 Azure AD Sync 时,你需要提供 Azure AD Sync 用于连接到 AD DS 的帐户的凭据。
可以使用普通的用户帐户,因为该帐户只需默认的读取权限。
以下部分提供了有关 AD DS 帐户所需的权限以及它需要访问的属性的更多详细信息。
密码同步的权限
如果你想要在本地 AD DS 与 Azure Active Directory 之间为用户启用密码同步,则需要授予以下 Azure AD Sync 用于连接到 AD DS 的帐户的权限:
复制目录更改
复制所有目录更改
需要这两种权限才能启用从本地 AD DS 读取密码哈希的帐户。
Office 365 Exchange 混合 AAD Sync 回写属性和权限。
如果你想要在本地 Exchange 基础结构与 Office 365(Exchange 混合)之间启用丰富共存,则可以通过选择“Exchange 混合部署”可选功能完成此操作。 在选择此功能时,你要启用 AAD Sync 将属性回写到本地环境。
.jpg "Optional features")
下表列出了每个对象类型中需要回写的属性:
“对象类型” |
数据源属性 |
联系人 |
proxyAddresses |
组 |
proxyAddresses |
用户/InetOrgPerson |
msExchArchiveStatus |
msExchBlockedSendersHash |
|
msExchSafeRecipientsHash |
|
msExchSafeSendersHash |
|
msExchUCVoiceMailSettings |
|
msExchUserHoldPolicies |
|
proxyAddresses |
在连接中配置的帐户Active Directory 域服务对话框页需要对上述属性具有特定权限。
下表列出了使用 DSACLS 命名法的此帐户所需的最小权限集。
“对象类型” |
数据源属性 |
权限/访问权限 |
继承 |
联系人 |
proxyAddresses |
写入 |
仅限子对象 |
组 |
proxyAddresses |
写入 |
仅限子对象 |
用户/InetOrgPerson |
msExchArchiveStatus |
写入 |
仅限子对象 |
msExchBlockedSendersHash |
写入 |
仅限子对象 |
|
msExchSafeRecipientsHash |
写入 |
仅限子对象 |
|
msExchSafeSendersHash |
写入 |
仅限子对象 |
|
msExchUCVoiceMailSettings |
写入 |
仅限子对象 |
|
msExchUserHoldPolicies |
写入 |
仅限子对象 |
|
proxyAddresses |
写入 |
仅限子对象 |
密码回写和更改密码权限。
密码回写功能为用户提供一种在云中重置其本地密码的简便方法。 在配置 Azure AD Sync 期间,你可以激活密码回写作为可选功能。
对于你已在 Azure AD Sync 中配置的每个林,必须为你已在向导中为林指定的帐户授予对该林中每个域的根对象的“重置密码”和“更改密码”扩展权限。 应当将权限标记为“由所有用户对象继承”。
使用以下过程设置对你已配置的每个帐户的权限。
如何配置“重置密码”和“更改密码”扩展权限
打开“Active Directory 用户和计算机”
在顶部的“视图”下,确保打开“高级功能”。
在左侧,右键单击根域并选择“属性”。
选择“安全性”选项卡并单击“高级”。
.png "Password Writeback 2")
在“权限”选项卡上,单击“添加”。
.png "Password Writeback 3")
单击“选择主体”并选择在安装期间指定的帐户。
在下拉列表中,选择“下级用户对象”。
在“权限”部分中,选择“重置密码”和“更改密码”。
.png "Password Writeback 4")
单击“确定” 。 单击“应用”。 单击“确定” 。
创建用于连接到 Azure AD 的帐户
配置 Azure AD Sync 时,你需要提供 Azure AD Sync 用于连接到 Azure AD 的帐户的凭据。
你应该将以下最佳实践应用于此帐户:
你应该创建仅供 Azure AD Sync 使用的单独帐户。
应该使用长度为 16 个字符的强密码配置该帐户。
应该对该帐户设置“密码永不过期”标志。
若要完成此任务,可以使用以下 PowerShell 脚本代码:set-msoluser -UserPrincipalName syncaccount@contoso.com -PasswordNeverExpires $True你的帐户必须使用“全局管理员”作为所选的组织角色。
.jpg "Role")
安装并配置 Azure AD Sync
可以使用以下链接下载最新版本的 Azure AD Sync:https://go.microsoft.com/fwlink/?LinkId=511690
若要开始安装过程,请启动名为 MicrosoftAzureADConnectionTool.exe 的可执行文件。
此自解压缩可执行文件将所有的必需文件放置在本地驱动器上并开始安装过程。
如果你取消安装过程,则会在开始菜单和桌面上创建一个快捷方式。
如果你需要使用 SQL Server 或域帐户作为服务帐户,则需要现在取消向导。 至此,安装过程已创建了一个包括 Azure AD Sync 相关文件的本地文件夹。 你需要使用此文件夹的内容在使用参数的情况下重新运行安装过程。
若要重新运行安装过程,请执行以下步骤:
打开一个命令提示符,然后转到 C:\Program Files\Microsoft Azure AD Connection Tool。
使用以下参数再次启动向导:
DirectorySyncTool.exe /sqlserver localhost /sqlserverinstance InstanceName /serviceAccountDomain Azure AD Sync /serviceAccountName Azure AD SyncSvc /serviceAccountPassword VerySecretP@ssw0rd注意
如果你希望使用默认 SQL 分区,则不要指定此参数。
此时,你已经准备就绪,可以完成与安装过程相关的对话框页面了。
若要安装 Azure AD Sync 工具,需要完成以下对话框页:
安装
连接到 Azure Active Directory
连接到 Active Directory 域服务
配置用户匹配
可选功能
Azure AD 应用程序
Azure AD 属性
已准备好配置
已完成
安装
.jpg "Welcome to Azure AD Sync")
作为安装过程的第一个步骤,你需要同意许可条款和条件,并且需要指定 Azure AD Sync 的位置。
连接到 Azure Active Directory
若要连接到你的 Azure AD 目录,Azure AD Sync 工具需要使用具有足够权限的帐户的凭据。
.jpg "Connect to Azure AD")
有关详细信息,请参阅创建帐户以连接到 Azure AD。
连接到 Active Directory 域服务
.jpg "Connect to AD DS")
若要连接到你的 Active Directory 域服务,Azure AD Sync 工具需要使用具有足够权限的帐户的凭据。
有关详细信息,请参阅创建 AD 帐户以连接到 AD DS。
配置用户匹配
.jpg "Uniquely identifying your users")
在此页面上,你需要配置以下各项:
跨林匹配
与 Azure AD 匹配
跨林匹配
跨林匹配功能允许你定义如何在 Azure AD 中呈现你的 ADDS 林中的用户。
一个用户可以在所有林中只呈现一次,也可以使用已启用和已禁用帐户的组合。
设置 |
说明 |
我的用户在所有林中只呈现一次 |
将所有用户在 Azure AD 中创建为单独的对象。 不会在 Metaverse 中联接对象。 |
邮件属性 |
如果邮件属性在不同的林中具有相同的值,此选项将联接用户和联系人。 当已使用 GALSync 创建了联系人时,建议使用此选项。 |
ObjectSID 和 msExchangeMasterAccountSID |
此选项将帐户林中的已启用用户与 Exchange 资源林中的已禁用用户进行联接。 这也称为 Exchange 中的链接邮箱。 |
sAMAccountName 和 MailNickName |
此选项根据预期可以在其中找到用户登录 ID 的属性进行联接。 |
我自己的属性 |
此选项允许选择自己的属性。 CTP 中的限制:确保选取 metaverse 中已存在的属性。 如果选择一个自定义属性,则向导将无法完成。 |
与 Azure AD 匹配
你可以使用此选项指定你希望用于联合身份验证的属性。 sourceAnchor 属性是一个在用户对象的生命周期内不会改变的属性。 在单林环境以及从不会在林之间移动帐户的环境中,不妨选择 objectGUID。 如果用户在林或域之间移动,则必须选择其他属性。
userPrincipalName 属性是用户在 Azure AD 中的登录 ID。 默认情况下,将使用 ADDS 中的 userPrincipalName 属性。 如果此属性不可传送或者不适合用作登录 ID,则可以在安装指南中选择一个不同的属性,例如邮件。
可选功能
如果你具有混合 Exchange 部署,请选中此复选框。 这会将某些属性从 Exchange Online 回写到本地 Active Directory。
密码回写是 Azure Active Directory 高级版的一项功能。 有关如何配置此配置的详细信息,请参阅 https://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx。
如果希望复查或限制与 Azure AD 同步的属性,请选择 Azure AD 应用程序和属性筛选。 向导中将出现两个额外的页面。
有关密码同步的详细信息,请参阅使用 Azure Active Directory Sync 实现密码同步
Azure AD 应用程序
.jpg "Azure AD apps")
如果你希望限制要同步到 Azure AD 的属性,则一开始请选择要使用哪些服务。如果你配置此页面,则必须重新运行安装向导来明确选择任何新服务。
Azure AD 属性
.jpg "Azure AD attributes")
此页面将根据上一步选择的服务来显示要同步的所有属性。 此列表是要同步的所有对象类型的组合。 如果你需要禁止同步某些特定属性,可以取消选中它们。 在上图中,取消选中了 extensionAttributes 和 homePhone,它们不会同步到 Azure AD。
已准备好配置
.jpg "Ready to configure")
此页面将提供你的配置的摘要。 在继续下一页面之前,你应当仔细复查此摘要。
如果此步骤失败,显示“无法与 Windows Azure Active Directory 服务通信”错误,并且你的代理服务器已配置,则你应将代理设置添加到 Azure AD Sync 计算机的“machine.config”文件中。
有关详细信息,请参阅<代理>元素 (网络设置) 。
已完成
.jpg "Finished")
现在已创建了一个默认配置,如果你打算开始同步,请单击“完成”。
如果你在开始同步之前需要进行一些额外的配置,请取消选中“立即同步”复选框,然后单击“完成”。 这将在任务计划程序中创建一个禁用的任务。 完成你的配置后,启用此任务即可开始定期同步。
另请参阅
概念
Azure Active Directory同步
Azure Active Directory Sync 版本发行历史记录
使用 Azure Active Directory Sync 实现密码同步