Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文介绍使用 Microsoft Entra Connect Sync 作为关键集成解决方案的各种本地和 Microsoft Entra 的拓扑。 本文包含支持和不支持的配置。
下文为本文中的图片图例说明:
| 说明 | 符号 |
|---|---|
| 本地 Active Directory 林 |
|
| 具有筛选导入的本地Active Directory | 带有筛选导入的  |
| Microsoft Entra Connect Sync 服务器 |
|
| Microsoft Entra Connect 同步服务器“临时阶段模式” |
|
| 具有 Microsoft Identity Manager 的 GALSync (MIM) 2016 |
|
| Microsoft Entra Connect Sync 服务器,详述 |
|
| Microsoft Entra ID |
|
| 不支持的方案 |
|
重要
Microsoft不支持在正式记录的配置或操作之外修改或操作Microsoft Entra Connect Sync。 这些配置或作中的任何一种都可能导致Microsoft Entra Connect Sync 不一致或不受支持的状态。因此,Microsoft无法为此类部署提供技术支持。
单个林、单个Microsoft Entra租户
最常见的拓扑是一个本地林,包含一个或多个域,以及一个单一的 Microsoft Entra 租户。 对于Microsoft Entra身份验证,使用密码哈希同步。 Microsoft Entra Connect 的快速安装仅支持此拓扑。
单一林,多台同步服务器连接到一个Microsoft Entra租户
不支持多个连接到同一 Microsoft Entra 租户的 Microsoft Entra Connect Sync 服务器,但< c0>暂存服务器< /c0>除外。 即使将这些服务器配置为与一组互斥对象同步,该配置也是不被支持的。 如果无法从单个服务器连接到林中的所有域,或者想要将负载分布到多个服务器,则应该考虑这种拓扑。 (为新的Microsoft Entra林和新的已验证子域配置新的Azure AD 同步服务器时,不会发生错误。
多个目录林,单个Microsoft Entra租户
许多组织拥有多个本地 Active Directory 林的环境。 有多种原因可能导致拥有多个内部部署的 Active Directory 林。 典型示例如采用帐户-资源林架构的设计,以及在合并或收购后实施的设计。
如果有多个林,则所有林必须可由单个Microsoft Entra Connect Sync 服务器访问。 服务器必须加入域。 如果需要访问所有林,可将服务器放在外围网络(也称为外围网络、外围安全区域或屏蔽子网)中。
Microsoft Entra Connect 安装向导提供了多个选项,用于合并多个林中表示的用户。 目标是用户在Microsoft Entra ID中仅表示一次。 可以在安装向导的自定义安装路径中配置某些常见拓扑。 在“唯一标识您的用户”页上选择表示拓扑结构的相应选项。 只对用户配置合并。 复制的组不会与默认配置合并。
有关独立的拓扑、完整网格和帐户资源拓扑的部分讨论了常见拓扑。
Microsoft Entra Connect Sync 中的默认配置假定:
- 每个用户只有一个已启用的帐户并且此帐户所在的林用于对用户进行身份验证。 这种假设适用于密码哈希同步和联合。 UserPrincipalName 和 sourceAnchor/immutableID 来自此林。
- 每个用户只有一个邮箱。
- 托管用户邮箱的林具有 Exchange 全局地址列表 (GAL) 中可见属性的最佳数据质量。 如果用户没有邮箱,则任何林都可以用于提供这些属性值。
- 如果您有一个关联邮箱,那么也有一个位于不同林中的帐户用于登录。
如果环境不符合这些假设,则会发生以下情况:
- 如果使用多个活动帐户或多个邮箱,同步引擎将选择其中一个并忽略其他帐户或邮箱。
- 没有其他活动帐户的链接邮箱不会导出到Microsoft Entra ID。 用户帐户不会显示为任何组中的成员。 DirSync 中的链接邮箱始终显示为普通邮箱。 这项更改有意引入了不同的行为,以更好地支持多林场景。
可在了解默认配置中找到更多详细信息。
多个域森林、多个同步服务器连接到一个“Microsoft Entra”租户
不支持将多个Microsoft Entra连接同步服务器连接到单个Microsoft Entra租户。 使用 暂存服务器时例外。
此拓扑与下面的拓扑不同,多个同步服务器连接到单个 Microsoft Entra 租户是不支持的。 (虽然不支持,但这仍然有效。)
多个森林和单个同步服务器,用户仅在一个目录中表示
在此环境中,所有本地林都被视为独立的实体。 没有用户出现在任何其他林中。 每个域都有其自己的 Exchange 组织,并且各个域之间没有 GALSync。 合并/收购之后或者如果组织中的每个业务单位独立运营,可能会出现这种拓扑。 这些林位于Microsoft Entra ID的同一组织中,并且与统一 GAL 一起显示。 在上图中,每个森林中的每个对象在元宇宙中都有一次表示,并在目标 Microsoft Entra 租户中汇总。
多个林:匹配用户
所有这些场景的共同点是通讯组和安全组可以包含用户、联系人和外部安全主体 (FSP) 的组合。 FSP 用于 Active Directory 域服务 (AD DS) 中,以在安全组中代表来自其他林的成员。 所有 FSP 都解析为 Microsoft Entra ID 中的真实对象。
多个林:包含可选 GALSync 的完整网格
完整网格拓扑允许用户和资源位于任何林中。 在森林之间通常建立了双向信任。
如果 Exchange 存在于多个林中,则可以选择使用本地 GALSync 解决方案。 这样,每个用户将在其他所有林区中表示为一个联系人。 GALSync 通常通过Microsoft Identity Manager实现。 Microsoft Entra Connect 不能用于本地 GALSync。
在此方案中,标识对象通过 mail 属性进行联接。 一个林中具有邮箱的用户与其他林中的联系人进行联接。
多个林域:帐户-资源林域
在帐户资源林拓扑中,有一个或多个包含活动用户帐户的 帐户 林。 此外,还有一个或多个包含已禁用帐户的 资源 林。
在此方案中,一个(或多个)资源林信任所有帐户林。 资源林通常具有 Exchange 和 Lync 的扩展 Active Directory 架构。 所有 Exchange 和 Lync 服务以及其他共享服务都位于此林中。 用户在此目录林中拥有一个被禁用的用户帐户,并且邮箱链接到帐户目录林。
Microsoft 365和拓扑注意事项
某些Microsoft 365工作负荷对支持的拓扑有一定限制:
| 工作负载 | 限制 |
|---|---|
| Exchange Online | 有关 Exchange Online 支持的混合拓扑的详细信息,请参阅 具有多个 Active Directory 林的混合部署。 |
| Skype for Business | 使用多个本地林时,只支持帐户资源林拓扑。 有关详细信息,请参阅 Skype for Business Server 2015 的环境要求。 |
预备服务器
Microsoft Entra Connect 支持安装第二台服务器处于暂存模式。 使用此模式的服务器从所有已连接的目录读取数据,但不会向已连接的目录写入任何数据。 它使用普通的同步周期,因此具有标识数据的更新副本。
在主服务器发生故障的灾难情况下,您可以故障切换到暂存服务器。 在Microsoft Entra Connect向导中进行此操作。 可将第二个服务器定位在不同的数据中心,因为没有基础结构与主服务器共享。 必须手动将主服务器上所做的任何配置更改复制到第二个服务器。
可以使用暂存服务器来测试新的自定义配置及其对数据造成的影响。 可以预览更改并调整配置。 如果满意新的配置,可让暂存服务器成为活动服务器,将旧的活动服务器设置为暂存模式。
还可以使用此方法替换活动的同步服务器。 准备新的服务器,并将其设置为暂存模式。 确保它处于良好状态、禁用暂存模式(使之成为活动服务器),然后关闭当前活动的服务器。
如果想要在不同的数据中心拥有多个备份,也可以配置多个暂存服务器。
多个Microsoft Entra租户
我们建议组织在 Microsoft Entra ID 中保留一个租户。 在计划使用多个 Microsoft Entra 租户实例之前,请参阅文章 Microsoft Entra ID 中的管理单元。 它涵盖了常见的场景,您可以在这些场景中使用单个租户。
将 AD 对象同步到多个 Microsoft Entra 租户
此拓扑实现以下用例:
- Microsoft Entra Connect 可以将用户、组和联系人从单个Active Directory同步到多个Microsoft Entra租户。 这些租户可以位于不同的Azure环境中,例如世纪互联运营的Microsoft Azure环境,但它们也可以位于同一Azure环境中,例如两个位于 Azure Commercial 中的租户。
- 同一个源定位标记可用于不同租户中的单个对象(但不能用于同一租户中的多个对象)。 (已验证的域在两个租户中不能相同。需要更多详细信息才能使同一对象具有两个 UPN。)
- 需要为要同步的每个Microsoft Entra租户部署Microsoft Entra Connect 服务器 - 一个Microsoft Entra Connect 服务器无法同步到多个Microsoft Entra租户。
- 支持允许不同的租户拥有不同的同步范围和不同的同步规则。
- 只能配置一个 Microsoft Entra 租户同步以将同一个对象写回到 Active Directory。 这包括设备和组写回以及混合 Exchange 配置,只能在一个租户中配置这些功能。 此处唯一的例外是密码写回,请参阅下文。
- 支持将密码哈希同步配置为从 Active Directory 到同一用户对象的多个 Microsoft Entra 租户。 如果为租户启用了密码哈希同步,则也可以启用密码写回,并且可以对多个租户执行此作:如果一个租户上更改了密码,则密码写回将在Active Directory更新密码,密码哈希同步将更新其他租户中的密码。
- 即使这些租户位于不同的Azure环境中,也不支持在多个Microsoft Entra租户中添加和验证相同的自定义域名。
- 不支持在 AD 中配置利用林级配置的混合体验,例如无缝 SSO 和Microsoft Entra混合联接(非目标方法),以及多个租户。 这样做会覆盖其他租户的配置并使其无法再使用。 可以在 规划Microsoft Entra混合联接部署中找到其他信息。
- 可以将设备对象同步到多个租户,但可将设备Microsoft Entra混合联接到一个租户。
- 每个Microsoft Entra Connect 实例都应在已加入域的计算机上运行。
注意事项
全局地址列表同步(GalSync)在此拓扑中不会自动完成,并且需要额外的自定义 MIM 实现,以确保每个租户在Exchange Online和Skype for Business Online 中都有完整的全局地址列表(GAL)。
使用写回功能的 GALSync
使用内部部署同步服务器的GALSync
可以使用本地Microsoft Identity Manager在两个 Exchange 组织之间同步用户(通过 GALSync)。 一个组织中的用户显示为另一组织中的外部用户/联系人。 然后,可以将这些不同的本地 Active Directory 实例与各自的 Microsoft Entra 租户同步。
使用未经授权的客户端访问 Microsoft Entra Connect 后端
Microsoft Entra Connect 服务器通过 Microsoft Entra Connect 后端与Microsoft Entra ID通信。 唯一可用于与此后端通信的软件是Microsoft Entra Connect。 不支持使用任何其他软件或方法与 Microsoft Entra Connect 后端通信。
后续步骤
若要了解如何为这些方案安装 Microsoft Entra Connect,请参阅 Microsoft Entra Connect 的自定义安装。
详细了解 Microsoft Entra Connect Sync 配置。
了解更多关于将本地标识与 Microsoft Entra ID 集成。