Azure AD Connect:版本发布历史记录

Azure Active Directory (Azure AD) 团队会定期更新 Azure AD Sync 的新特性和功能。 并非所有的新增内容都适用于所有受众。

本文旨在帮助你跟踪已发布的版本,并了解最新版本中的具体变化。

下表列出了相关主题:

主题 详细信息
从 Azure AD Connect 升级的步骤 从旧版升级到最新版 Azure AD Connect 的不同方法。
所需的权限 有关应用更新时所需的权限,请参阅帐户和权限

下载 | 下载 Azure AD Connect

1.1.880.0

版本状态

7/20/2018:已发布,用于下载和自动升级。 自动升级过程仍在进行中。

新增功能和改进

  • Azure AD Connect 中的 Ping Federate 集成现已公开发布。 深入了解如何将 Azure AD 与 Ping Federate 联合
  • Azure AD Connect 现在每次更新时都可在 AD FS 中创建 Azure AD 信任的备份,并将其存储在单独的文件中以便轻松还原(如果需要)。 详细了解 Azure AD Connect 中的新增功能和 Azure AD 信任管理
  • 新的故障排除工具有助于解决更改主要电子邮件地址和隐藏全局地址列表中的帐户的问题
  • 已更新 Azure AD Connect,以包括最新版 SQL Server 2012 本机客户端
  • 如果在“更改用户登录”任务中将用户登录切换为“密码哈希同步”或“直通身份验证”,将默认启用“无缝单一登录”复选框。
  • 添加了对 Windows Server Essentials 2019 的支持
  • Azure AD Connect Health 代理已更新到最新版 3.1.7.0
  • 升级过程中,如果安装程序检测到对默认同步规则的更改,覆盖经修改的规则之前系统将对管理员进行警告。 这将允许用户采取纠正措施并稍后继续操作。 旧行为:如果存在任何经修改的现成规则,则手动升级将覆盖这些规则,而不会向用户发出任何警告,并且在不通知用户的情况下禁用同步计划程序。 新行为:覆盖经修改的现成同步规则之前,系统将警告用户。 用户可以选择停止升级过程,并在采取纠正措施后继续操作。
  • 更好地处理 FIPS 符合性问题,提供针对符合 FIPS 的环境中的 MD5 哈希生成的错误消息和有关此问题解决办法的文档链接。
  • UI 改进以改进向导中的联合任务,这些任务现位于单独的联合子组中。
  • 现在,所有附加联合任务集中在单个子菜单下,易于使用。
  • 包含新的 AD 权限函数的新改进的 ADSyncConfig Posh 模块 (AdSyncConfig.psm1) 从旧的 ADSyncPrep.psm1 移出(可能很快弃用)

修复的问题

  • 修复了以下 bug:在升级到 .Net 4.7.2 之后,AAD Connect 服务器显示 CPU 使用率高
  • 修复了以下 bug:针对自动解决的 SQL 死锁问题间歇性生成错误消息
  • 修复了同步规则编辑器和 Sync Service Manager 的多个辅助功能问题
  • 修复了以下 bug:Azure AD Connect 无法获取注册表设置信息
  • 修复了以下 bug:用户在向导中前进/后退时会出现问题
  • 修复了以下 bug:由于向导中多线程处理不正确而导致错误
  • 当“组同步筛选”页在解析安全组时遇到 LDAP 错误,Azure AD Connect 现在会返回全保真度异常。 引用异常的根本原因仍未知,并且将被其他 bug 解决。
  • 修复了 STK 和 NGC 键(WHfB 的用户/设备对象的 ms-DS-KeyCredentialLink 属性)的权限设置出错这一 bug。
  • 修复了以下 bug:错误调用“Set-ADSyncRestrictedPermissions”
  • 添加对 AADConnect 安装向导中组写回权限授予的支持
  • 如果将登录方法从“密码哈希同步”更改为“AD FS”,不会禁用“密码哈希同步”。
  • 添加了对 AD FS 配置中的 IPv6 地址的验证
  • 更新了通知消息,用于通知已存在一个现有配置。
  • 设备写回未能检测到不受信任林中的容器。 已经对此进行更新,以提供更好的错误消息和相应文档链接
  • 取消选中 OU 后,该 OU 对应的同步/写回出现一般同步错误。 已经对此进行更改,以创建更易于理解的错误消息。

1.1.819.0

版本状态

5/14/2018:已发布,用于自动升级和下载。

新增功能和改进

新增功能和改进

  • 此版本包含 Azure AD Connect 中 PingFederate 集成的公共预览。 借助此版本,客户可以轻松可靠地将 Azure Active Directory 环境配置为,使用 PingFederate 作为联合身份验证提供程序。 若要了解有关如何使用此新功能的详细信息,请访问我们的在线文档
  • 更新了 Azure AD Connect 向导疑难解答实用工具,现在可以分析更多错误方案,如链接邮箱和 AD 动态组。 在此处阅读有关疑难解答实用工具的详细信息。
  • 设备写回配置现在仅在 Azure AD Connect 向导中进行管理。
  • 添加了名为 ADSyncTools.psm1 的新 PowerShell 模块,可用于 SQL 连接问题故障排除和各种其他疑难解答实用工具。 在此处阅读有关 ADSyncTools 模块的详细信息。
  • 添加了新的“配置设备选项”任务。 可使用该任务来配置以下两个操作:

    • 混合 Azure AD 加入:如果你的环境具有本地 AD 占用空间并且你希望利用 Azure Active Directory 提供的功能所带来的优势,则可选择实现混合 Azure AD 加入设备。 这些设备同时加入到本地 Active Directory 和 Azure Active Directory。
    • 设备写回:设备写回用于在设备上启用对 AD FS(2012 R2 或更高版本)保护设备的基于条件的访问

      Note

      • 通过自定义同步选项启用设备写回的选项将灰显。
      • 适用于 ADPrep 的 PowerShell 模块在此版本中弃用。

修复的问题

  • 此版本将 SQL Server Express 安装更新为 SQL Server 2012 SP4,该版本及其他一些版本针对多个安全漏洞提供修补程序。 有关 SQL Server 2012 SP4 的详细信息,请参阅此处
  • 同步规则处理:如果父同步规则不再适用,应取消应用没有联接条件的出站联接同步规则
  • 多个可访问性修补程序已应用于 Synchronization Service Manager UI 和同步规则编辑器
  • Azure AD Connect 向导:Azure AD Connect 位于工作组中时,创建 AD 连接器帐户出错
  • Azure AD Connect 向导:AD 域和 Azure AD 验证域存在任何不匹配时,在 Azure AD 登录页面上显示验证复选框
  • 自动升级 PowerShell 修补程序,以在尝试自动升级后的某些情况下正确设置自动升级状态。
  • Azure AD Connect 向导:更新遥测以捕获之前缺失的信息
  • Azure AD Connect 向导:当使用更改用户登录任务从 AD FS 切换到直通身份验证时,已进行以下更改:
    • 在我们将域从联盟域转换为托管域之前,直通身份验证代理已安装在 Azure AD Connect 服务器上,并且直通身份验证功能处于已启用状态。
    • 用户不再从联盟用户转换为托管用户。 只有域会被转换。
  • Azure AD Connect 向导:当用户 UPN 更新 ' 特殊字符正则表达式以支持特殊字符时,AD FS 多域正则表达式不正确
  • Azure AD Connect 向导:在无更改时删除虚假的“配置源定位点属性”消息
  • Azure AD Connect 向导:对双联合方案的 AD FS 支持
  • Azure AD Connect 向导:在将托管域转换为联合域时,AD FS 声明未针对添加的域进行更新
  • Azure AD Connect 向导:在检测已安装的程序包期间,我们发现过时的 Dirsync/Azure AD Sync/Azure AD Connect 相关产品。 我们现在将尝试卸载过时的产品。
  • Azure AD Connect 向导:更正安装传递身份验证代理失败时的错误消息映射
  • Azure AD Connect 向导:从域 OU 筛选页面删除“配置”容器
  • 同步引擎安装:移除偶尔因同步引擎安装 msi 而失败的不必要的旧逻辑
  • Azure AD Connect 向导:修复密码哈希同步的可选功能页面中的弹出帮助文本
  • 同步引擎运行时:修复 CS 对象具有导入的删除并且同步规则尝试重新预配对象的情况。
  • 同步引擎运行时:为导入错误事件日志添加联机连接疑难解答指南帮助链接
  • 同步引擎运行时:枚举连接器时减少同步计划程序的内存使用量
  • Azure AD Connect 向导:解决解析无 AD 读取特权的自定义同步服务帐户时出现的问题
  • Azure AD Connect 向导:改进对域和 OU 筛选选择的日志记录
  • Azure AD Connect 向导:AD FS 将默认声明添加到为 MFA 方案创建的联合信任
  • Azure AD Connect 向导:AD FS 部署 WAP:添加服务器时未能使用新证书
  • Azure AD Connect 向导:未针对域初始化 onPremCredentials 时出现 DSSO 异常
  • 优先从活动用户对象中流动 AD distinguishedName 属性。
  • 修复了以下显示错误:第一个 OOB 同步规则的优先级设置为 99,而不是 100

1.1.751.0

状态:2018 年 4 月 12 日发布,仅供下载

Note

此版本是 Azure AD Connect 的修补程序

Azure AD Connect 同步

修复的问题

修复了以下问题:自动发现 Azure 实例有时会对中国区租户无效。

AD FS 管理

修复的问题

配置重试逻辑中存在一个问题,该问题将导致一个 ArgumentException,指出“已添加了具有相同键的项”。 这会导致所有重试操作失败。

1.1.750.0

状态 3/22/2018:已发布,用于自动升级和下载。

Note

完成到此新版本的升级以后,将会自动触发针对 Azure AD 连接器的完全同步和完全导入,以及针对 AD 连接器的完全同步。 由于这可能需要一些时间(具体取决于 Azure AD Connect 环境的大小),因此请确保已采取必要的支持措施,否则需推迟升级,直至找到合适的升级时间。

Note

“对于部署了高于 1.1.524.0 的版本的部分租户,自动升级功能错误地被禁用了。 若要确保你的 Azure AD Connect 实例依然可以进行自动升级,请运行以下 PowerShell cmdlet:“Set-ADSyncAutoUpgrade -AutoupGradeState Enabled”

具有 Azure AD Connect

修复的问题

  • 如果自动升级状态设置为“已暂停”,则 Set-ADSyncAutoUpgrade cmdlet 以前会阻止自动升级。 此功能现已更改为,不阻止自动升级未来版本。
  • 将“用户登录”页选项“密码同步”更改为了“密码哈希同步”。 Azure AD Connect 同步密码哈希值(而不是密码),因此这与实际发生的情况一致。 有关详细信息,请参阅使用 Azure AD Connect 同步实现密码哈希同步

1.1.749.0

状态:已分发给选定客户

Note

完成到此新版本的升级以后,将会自动触发针对 Azure AD 连接器的完全同步和完全导入,以及针对 AD 连接器的完全同步。 由于这可能需要一定的时间(具体取决于 Azure AD Connect 环境的大小),因此请确保已采取必要的支持措施,否则需推迟升级,直至找到合适的升级时间。

具有 Azure AD Connect

修复的问题

  • 修复了在切换到下一页时,“分区筛选”页的后台任务的计时窗口问题。

  • 修复了在 ConfigDB 自定义操作过程中导致访问冲突的 Bug。

  • 修复了 Bug,因此可以从 SQL 连接超时恢复。

  • 修复了带 SAN 通配符的证书无法通过先决条件检查的 Bug。

  • 修复了在 Azure AD 连接器导出过程中导致 miiserver.exe 崩溃的 Bug。

  • 修复了在运行 Azure AD Connect 向导来更改配置时,可以通过不断地尝试密码登录 DC 的 Bug。

新增功能和改进

  • 为一般数据保护条例 (GDPR) 添加隐私设置。 有关详细信息,请参阅此处的文章。

Note

本文介绍如何删除设备或服务中的个人数据,并且可为 GDPR 下的任务提供支持。 如需关于 GDPR 的常规信息,请参阅服务信任门户的 GDPR 部分

  • 应用程序遥测 - 管理员可以随意切换此类数据的开/关设置

  • Azure AD 运行状况数据 - 管理员必须访问运行状况门户才能控制其运行状况设置。 等到服务策略更改以后,代理就会读取并强制实施它。

  • 添加了设备写回配置操作以及用于页面初始化的进度栏

  • 改进了 HTML 报表的常规诊断功能以及 ZIP-Text/HTML 报表的完整数据收集功能

  • 提高了自动升级的可靠性并增加了更多的遥测,确保可以确定服务器的运行状况

  • 限制提供给以 AD 连接器帐户为基础的特权帐户的权限

    • 进行全新安装时,向导会限制特权帐户拥有的针对 MSOL 帐户的权限(前提是 MSOL 帐户已创建)。

这些更改将针对以下事项:

  1. 快速安装
  2. 用于自动创建帐户的自定义安装
  3. 更改了安装程序,因此在进行 Azure AD Connect 的全新安装时,不需要 SA 权限
  • 添加了新的实用程序,用于排查特定对象的同步问题。 该实用程序位于 Azure AD Connect 向导的“排查其他任务的问题”的“排查对象同步问题”选项下。 目前,该实用程序用于检查以下问题:

    • Azure AD 租户中的已同步用户对象和用户帐户之间出现 UserPrincipalName 不匹配的情况。
    • 是否已通过域筛选将对象从同步中筛选出来
    • 是否已通过组织单位 (OU) 筛选将对象从同步中筛选出来
  • 添加了一个新的实用程序,用于同步当前的密码哈希,该哈希存储在针对特定用户帐户的本地 Active Directory 中。

该实用程序不需要更改密码。 该实用程序位于 Azure AD Connect 向导的“排查其他任务的问题”的“排查密码哈希同步问题”选项下。

1.1.654.0

状态:2017 年 12 月 12 日

Note

此版本是 Azure AD Connect 安全相关修补程序

具有 Azure AD Connect

已在 Azure AD Connect 版本 1.1.654.0(和更高版本)中添加改进项,以确保在 Azure AD Connect 创建 AD DS 帐户时,自动应用锁定对 AD DS 帐户的访问部分中所述的建议权限更改。

  • 设置 Azure AD Connect 时,安装管理员可以提供现有的 AD DS 帐户,或者让 Azure AD Connect 自动创建帐户。 权限更改将自动应用到安装期间由 Azure AD Connect 创建的 AD DS 帐户。 这些更改不会应用到安装管理员提供的现有 AD DS 帐户。
  • 对于已从旧版升级到 Azure AD Connect 1.1.654.0(或更高版本)的客户,权限更改不会以可追溯方式应用到升级之前创建的现有 AD DS 帐户, 而只会应用到升级之后创建的新 AD DS 帐户。 添加要同步到 Azure AD 的新 AD 林时,将应用这些更改。

Note

此版本仅删除了 Azure AD Connect 新安装的漏洞,这些安装的服务帐户是由安装进程创建的。 对于现有安装,或者在自己提供帐户的情况下,你应该确保此漏洞不存在。

锁定对 AD DS 帐户的访问

可以通过在本地 AD 中实现以下权限更改,来锁定对 AD DS 帐户的访问:

  • 禁用指定对象上的继承
  • 删除特定对象上的所有 ACE,但特定于 SELF 的 ACE 除外。 我们希望在处理 SELF 时默认权限保持不变。
  • 分配以下特定权限:
类型 Name 访问 应用到
允许 SYSTEM 完全控制 此对象
允许 企业管理员 完全控制 此对象
允许 域管理员 完全控制 此对象
允许 管理员 完全控制 此对象
允许 企业域控制器 列出内容 此对象
允许 企业域控制器 读取所有属性 此对象
允许 企业域控制器 读取权限 此对象
允许 经过身份验证的用户 列出内容 此对象
允许 经过身份验证的用户 读取所有属性 此对象
允许 经过身份验证的用户 读取权限 此对象

若要收紧 AD DS 帐户的权限设置,可运行此 PowerShell 脚本。 该 PowerShell 脚本会将上述权限分配到 AD DS 帐户。

用于收紧现有服务帐户权限的 PowerShell 脚本

若要使用 PowerShell 脚本将这些设置应用到现有的 AD DS 帐户(组织提供的帐户,或由先前的 Azure AD Connect 安装创建的帐户),请通过上述链接下载该脚本。

用法:
Set-ADSyncRestrictedPermissions -ObjectDN <$ObjectDN> -Credential <$Credential>

Where

$ObjectDN = 需要收紧其权限的 Active Directory 帐户。

$Credential = 管理员凭据,拥有限制 $ObjectDN 帐户权限的必要特权。 企业或域管理员通常拥有这些特权。 使用管理员帐户的完全限定域名来避免帐户查找失败。 示例:contoso.com\admin。

Note

$credential.UserName 应采用“FQDN\用户名”格式。 示例:contoso.com\admin

示例:
Set-ADSyncRestrictedPermissions -ObjectDN "CN=TestAccount1,CN=Users,DC=bvtadwbackdc,DC=com" -Credential $credential 

是否已使用此漏洞获取未经授权的访问?

若要确定是否已有人使用此漏洞盗取 Azure AD Connect 配置,应检查服务帐户的最后一次密码重置日期。 如果时间戳可疑,应通过事件日志对该密码重置事件做进一步的调查。

有关详细信息,请参阅 Microsoft 安全公告 4056318

1.1.649.0

状态:2017 年 10 月 27 日

Note

不通过 Azure AD Connect 自动升级功能向客户提供此内部版本。

具有 Azure AD Connect

修复的问题

  • 修复了 Azure AD Connect 与 Azure AD Connect Health 代理(用于同步)之间存在的版本兼容性问题。 此问题会影响要执行 Azure AD Connect 就地升级到版本 1.1.647.0,但当前 Health 代理版本为 3.0.127.0 的用户。 升级之后,Health 代理不再能够将有关 Azure AD Connect 同步服务的运行状况数据发送到 Azure AD Health 服务。 通过此修复,在 Azure AD Connect 就地升级过程中将安装 Health 代理版本 3.0.129.0。 Health 代理版本 3.0.129.0 与 Azure AD Connect 版本 1.1.649.0 没有兼容性问题。

1.1.647.0

状态:2017 年 10 月 19 日

Important

Azure AD Connect 版本 1.1.647.0 与 Azure AD Connect Health 代理(用于同步)版本 3.0.127.0 之间存在已知的兼容性问题。 此问题会阻止 Health 代理向 Azure AD Health 服务发送有关 Azure AD Connect 同步服务的运行状况数据(包括对象同步错误和运行历史记录数据)。 将 Azure AD Connect 部署手动升级到版本 1.1.647.0 之前,请验证 Azure AD Connect 服务器上是否安装了最新版本的 Azure AD Connect Health 代理。 为此,可以转到“控制面板”→“添加/删除程序”,并查找应用程序“用于同步的 Azure AD Connect Health 代理”。如果其版本为 3.0.127.0,我们建议等到推出了下一个 Azure AD Connect 版本再升级。 如果 Health 代理版本不是 3.0.127.0,则可以继续进行手动就地升级。 请注意,此问题不会影响交叉升级,也不影响执行 Azure AD Connect 全新安装的客户。

具有 Azure AD Connect

修复的问题

  • 修复了 Azure AD Connect 向导中的“更改用户登录”任务:

    • 如果存在一个已启用密码同步的现有 Azure AD Connect 部署,并尝试将用户登录方法设置为“直通身份验证”,则会发生此问题。 在应用更改之前,向导会错误地显示“禁用密码同步”提示。 但是,在应用更改之后,密码同步仍保持启用状态。 通过这项修复,向导不再会显示该提示。

    • 根据设计,在使用“更改用户登录”任务更新用户登录方法时,向导不会禁用密码同步。 这是为了避免干扰想要保留密码同步的客户,即使他们启用直通身份验证或联合身份验证作为其主要用户登录方法。

    • 如果想要在更新用户登录方法后禁用密码同步,必须执行向导中的“自定义同步配置”任务。 导航到“可选功能”页后,取消选中“密码同步”选项。

    • 请注意,如果尝试启用/禁用无缝单一登录,也会发生同样的问题。 具体而言,此时某个现有的 Azure AD Connect 部署启用了密码同步,同时用户登录方法已配置为“直通身份验证”。 使用“更改用户登录”任务尝试选中/取消选中“启用无缝单一登录”选项,同时将用户登录方法保持配置为“直通身份验证”。 在应用更改之前,向导会错误地显示“禁用密码同步”提示。 但是,在应用更改之后,密码同步仍保持启用状态。 通过这项修复,向导不再显示该提示。

  • 修复了 Azure AD Connect 向导中的“更改用户登录”任务:

    • 如果存在一个已禁用密码同步的现有 Azure AD Connect 部署,并尝试将用户登录方法设置为“直通身份验证”,则会发生此问题。 在应用更改后,向导会同时启用直通身份验证和密码同步。 通过这项修复,向导不再启用密码同步。
    • 过去,密码同步是启用直通身份验证的先决条件。 将用户登录方法设置为“直通身份验证”时,向导会同时启用直通身份验证和密码同步。 最近,已去除“密码同步”这项先决条件。 Azure AD Connect 版本 1.1.557.0 中对 Azure AD Connect 做了更改,在将用户登录方法设置为“直通身份验证”时,不会启用密码同步。 但是,该项更改只会应用到 Azure AD Connect 安装。 通过这项修复,相同的更改也会应用到“更改用户登录”任务。

    • 请注意,如果尝试启用/禁用无缝单一登录,也会发生同样的问题。 具体而言,此时某个现有的 Azure AD Connect 部署禁用了密码同步,同时用户登录方法已配置为“直通身份验证”。 使用“更改用户登录”任务尝试选中/取消选中“启用无缝单一登录”选项,同时将用户登录方法保持配置为“直通身份验证”。 应用这项更改后,向导会启用密码同步。 通过这项修复,向导不再启用密码同步。

  • 修复了一个导致 Azure AD Connect 升级失败并出现错误“无法升级同步服务”的问题。 此外,在出现事件错误“服务无法启动,因为数据库的版本比所安装的二进制文件的版本更新”时,同步服务不再能够启动。 当执行升级的管理员对 Azure AD Connect 所用的 SQL 服务器没有 sysadmin 特权时,将会出现此问题。 通过这项修复,Azure AD Connect 只要求管理员在升级期间对 ADSync 数据库拥有 db_owner 特权。

  • 修复了一个会对已启用“无缝单一登录”的客户造成影响的 Azure AD Connect 升级问题。 升级 Azure AD Connect 之后,Azure AD Connect 向导中会错误地将无缝单一登录显示为已禁用,即使该功能保持已启用状态且完全正常。 通过这项修复,该功能现在会正确地在向导中显示为已启用。

  • 修复了一个导致 Azure AD Connect 向导始终在“已准备好配置”页上显示“配置源定位点”提示(即使未做出与源定位点相关的任何更改)的问题。

  • 在执行 Azure AD Connect 的手动就地升级时,客户必须提供相应 Azure AD 租户的全局管理员凭据。 过去,即使全局管理员凭据属于其他 Azure AD 租户,也能继续升级。 尽管升级看上去已成功完成,但某些配置不会在升级时正确保留。 待此次变更生效后,如果提供的凭据与 Azure AD 租户不一致,向导会阻止继续升级。

  • 删除了在开始手动升级时不必要地重启 Azure AD Connect Health 服务的多余逻辑。

新增功能和改进

  • 添加了逻辑来简化在 Microsoft 德国云中设置 Azure AD Connect 所要执行的步骤。 过去,我们必须按此文中所述更新 Azure AD Connect 服务器上的特定注册表项,才能让 Azure AD Connect 在 Microsoft 德国云中正常工作。 现在,Azure AD Connect 可以根据安装期间提供的全局管理员凭据,自动检测租户是否在 Microsoft 德国云中。

Azure AD Connect Sync

Note

注意:同步服务提供一个 WMI 接口让客户开发自己的自定义计划程序。 此接口现已弃用,并会从 2018 年 6 月 30 日之后交付的后续 Azure AD Connect 版本中删除。 想要自定义同步计划的客户应使用 [内置计划程序 (/active-directory/connect/active-directory-aadconnectsync-feature-scheduler)。

修复的问题

  • 当 Azure AD Connect 向导创建从本地 Active Directory 同步更改所需的 AD 连接器帐户时,不会正确地向该帐户分配读取 PublicFolder 对象所需的权限。 此问题会影响“快速”安装和“自定义”安装。 此项更改修复了该问题。

  • 修复了一个导致通过 Windows Server 2016 运行 Azure AD Connect 向导的管理员无法正常查看其故障排除页的问题。

新增功能和改进

  • 使用 Azure AD Connect 向导故障排除页排查密码同步问题时,故障排除页现在会返回特定于域的状态。

  • 过去,如果尝试启用密码哈希同步,Azure AD Connect 不会验证 AD 连接器帐户是否拥有从本地 AD 同步密码哈希所需的权限。 现在,Azure AD Connect 向导会验证权限,并在 AD 连接器帐户没有足够的权限时发出警告。

AD FS 管理

修复的问题

  • 修复了与将 ms-DS-ConsistencyGuid 用作源定位点功能的用法相关的问题。 此问题会影响已将“使用 AD FS 进行联合身份验证”配置为用户登录方法的客户。 执行向导中的“配置源定位点”任务时,Azure AD Connect 会改用 *ms-DS-ConsistencyGuid 作为 immutableId 的源属性。 在应用此项更改的过程中,Azure AD Connect 会尝试更新 AD FS 中 ImmutableId 的声明规则。 但是,由于 Azure AD Connect 无法提供配置 AD FS 所需的管理员凭据,此步骤失败。 通过这项修复,在执行“配置源定位点”任务时,Azure AD Connect 现在会提示输入 AD FS 的管理员凭据。

1.1.614.0

状态:2017 年 9 月 5 日

具有 Azure AD Connect

已知问题

  • 有个已知问题会导致 Azure AD Connect 升级失败并出现错误“无法升级同步服务”的问题。 此外,在出现事件错误“服务无法启动,因为数据库的版本比所安装的二进制文件的版本更新”时,同步服务不再能够启动。 当执行升级的管理员对 Azure AD Connect 所用的 SQL 服务器没有 sysadmin 特权时,将会出现此问题。 Dbo 权限是不够的。

  • Azure AD Connect 升级存在已知问题,会对已启用无缝单一登录的客户造成影响。 升级 Azure AD Connect 后,功能会在向导中显示为已禁用,即使功能为启用状态也是如此。 未来的发布中将提供对此问题的修复。 担心此显示问题的客户可以手动修复此问题,方法是在向导中启用无缝单一登录。

修复的问题

  • 修复了以下问题:启用将 ms-DS-ConsistencyGuid 用作源定位点功能时,Azure AD Connect 无法更新本地 AD FS 中的声明规则。 如果尝试为将 AD FS 配置为登录方法的现有 Azure AD Connect 部署启用此功能,就会出现此问题。 之所以出现此问题是因为,向导在尝试更新 AD FS 中的声明规则前未提示输入 ADFS 凭据。
  • 修复了本地 AD 林禁用 NTLM 后导致 Azure AD Connect 无法安装的问题。 此问题的起因是:创建 Kerberos 身份验证所需的安全上下文时,Azure AD Connect 向导未提供完全限定的凭据。 这将导致 Kerberos 身份验证失败并且 Azure AD Connect 向导将回退到使用 NTLM。

Azure AD Connect Sync

修复的问题

  • 修复了未填充标记属性时无法创建新同步规则的问题。
  • 修复了即使 Kerberos 可用时,仍导致 Azure AD Connect 使用 NTLM 连接到本地 AD 进行密码同步的问题。 如果本地 AD 拓扑有一个或多个通过备份还原的域控制器,就会出现此问题。
  • 修复了导致升级后出现不必要完整同步步骤的问题。 一般情况下,如果现成的同步规则发生了更改,则升级后需要运行完整同步步骤。 此问题的起因是:更改检测逻辑中出现错误,当遇到具有换行字符的同步规则表达式时,此错误导致错误地检测到更改。 已向同步规则表达式中插入了换行符来提升可读性。
  • 修复了可能导致自动升级后 Azure AD Connect 服务器无法正常工作的问题。 此问题会影响 1.1.443.0 版本(或更早版本)的 Azure AD Connect 服务器。 有关此问题的详细信息,请参阅文章自动升级后 Azure AD Connect 无法正常工作
  • 修复了遇到错误后导致每 5 分钟重试自动升级的问题。 通过此次修复,遇到错误时,自动升级重试次数将指数式下降。
  • 修复了密码同步事件 611 在 Windows 应用程序事件日志中显示不正确(显示为“信息”而不是“错误”)的问题。 只要密码同步出现问题,便会生成事件 611。
  • 修复了 Azure AD Connect 向导中允许在未选择组写回所需的 OU 的情况下启用组写回功能的问题。

新增功能和改进

  • 在 Azure AD Connect 向导中的其他任务下添加了故障排除任务。 客户可以利用此任务解决与密码同步相关的问题并收集常规诊断信息。 未来,故障排除任务将扩展到能处理与目录同步相关的其他问题。
  • Azure AD Connect 现在支持名为“使用现有数据库”的新安装模式。 在此安装模式下,客户可以安装指定现有 ADSync 数据库的 Azure AD Connect。 有关此功能的详细信息,请参阅文章使用现有数据库
  • 为了提高安全性,Azure AD Connect 现在默认为使用 TLS1.2 连接到 Azure AD 进行目录同步。 以前默认使用 TLS1.0。
  • Azure AD Connect 密码同步代理启动时,它将尝试连接到 Azure AD 的已知终结点进行密码同步。 成功连接后,它会重定向到特定于区域的终结点。 以前,除非重新启动,否则密码同步代理将一直缓存区域特定的终结点。 现在,当遇到特定于区域的终结点的连接问题时,代理将清除缓存并重试连接已知终结点。 此更改可确保已缓存的区域特定的终结点不再可用时,密码同步可以故障转移到其他区域特定的终结点。
  • 若要同步本地 AD 林中的更改,需要 AD DS 帐户。 可以 (i) 自行创建 AD DS 帐户,并将其凭据提供给 Azure AD Connect,也可以 (ii) 提供企业管理员凭据,让 Azure AD Connect 为你创建 AD DS 帐户。 以前,(i) 是 Azure AD Connect 向导中的默认选项。 现在,(ii) 是默认选项。

Azure AD Connect Health

新增功能和改进

  • 添加了对 Azure 政府云和 Microsoft 云德国的支持。

AD FS 管理

修复的问题

  • AD 准备 powershell 模块中的 Initialize-ADSyncNGCKeysWriteBack cmdlet 对设备注册容器错误地应用 ACL,因此只会继承现有权限。 已对此情况进行更新,以便同步服务帐户具有正确的权限。

新增功能和改进

  • 已更新 AAD Connect 验证 ADFS 登录任务,以便它能验证针对 Microsoft Online 的登录名而不只是验证从 ADFS 检索到的令牌。
  • 使用 AAD Connect 设置新 ADFS 场时,请求 ADFS 凭据的页面已经移动,现在此页面在要求用户提供 ADFS 和 WAP 服务器之前出现。 通过此更改,AAD Connect 可以检查指定帐户是否具有正确的权限。
  • AAD Connect 升级期间,如果 ADFS AAD 信任无法更新,升级将不会失败。 如果发生此情况,用户将看到相应警告消息,并应通过其他 AAD Connect 任务继续重置信任。

1.1.561.0

状态:2017 年 7 月 23 日

Azure AD Connect

修复的问题

  • 修复了导致现成的同步规则“Out to AD - User ImmutableId”被删除的一个问题:

    • 当升级 Azure AD Connect 时,或使用 Azure AD Connect 向导中的任务选项“更新同步配置”来更新 Azure AD Connect 同步配置时,会出现此问题。

    • 此同步规则适用于启用了将 ms-DS-ConsistencyGuid 用作源定位点功能的客户。 版本 1.1.524.0 及更高版本中引入了此功能。 当删除此同步规则后,Azure AD Connect 无法再使用 ObjectGuid 属性值填充本地 AD ms-DS-ConsistencyGuid 属性。 它不会阻止将新用户预配到 Azure AD 中。

    • 此修复可以确保在启用了该功能的情况下,在升级期间或者在更改配置期间不再会删除此功能。 对于已受此问题影响的现有客户,此修复还可以确保在升级到此版本的 Azure AD Connect 之后将同步规则添加回来。

  • 修复了一个导致现成的同步规则的优先级值小于 100 的问题:

    • 通常,优先级值 0 - 99 是为自定义同步规则保留的。 在升级期间,现成的同步规则的优先级值进行了更新以适应同步规则更改。 由于此问题,可能会为现成的同步规则分配一个小于 100 的优先级值。

    • 此修复可以防止升级期间发生此问题。 不过,对于已受此问题影响的现有客户,它不会还原优先级值。 将来会提供一个单独的修复来帮助进行还原。

  • 修复了即使在启用了基于 OU 的筛选的情况下,Azure AD Connect 向导中的“域和 OU 筛选”屏幕也将“同步所有域和 OU”选项显示为已选中的问题。

  • 修复了单击“刷新”按钮导致 Synchronization Service Manager 中的“配置目录分区”屏幕返回错误的问题。 错误消息为:“刷新域时遇到错误: 无法将 System.Collections.ArrayList 类型的对象强制转换为 Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject 类型。” 将新的 AD 域添加到现有 AD 林并尝试使用“刷新”按钮更新 Azure AD Connect 时出错。

新增功能和改进

  • 自动升级功能已经过扩展,为使用以下配置的客户提供支持:

    • 已启用设备写回功能。
    • 已启用组写回功能。
    • 安装不是快速设置或 DirSync 升级。
    • Metaverse 中的对象超过 100,000 个。
    • 正在连接到多个林。 快速安装只会连接到一个林。
    • AD 连接器帐户不再是默认的 MSOL_ 帐户。
    • 服务器已设置为过渡模式。
    • 已启用用户写回功能。

    Note

    自动升级功能的范围扩展会影响使用 Azure AD Connect 1.1.105.0 和更高版本的客户。 如果不希望自动升级 Azure AD Connect 服务器,必须在 Azure AD Connect 服务器上运行以下 cmdlet:Set-ADSyncAutoUpgrade -AutoUpgradeState disabled。 有关启用/禁用自动升级的详细信息,请参阅 Azure AD Connect:自动升级一文。

1.1.558.0

状态:不会发行。 版本 1.1.561.0 中包括了此内部版本中的更改。

具有 Azure AD Connect

修复的问题

  • 修复了在更新基于 OU 的筛选配置时,导致需要删除“Out to AD - User ImmutableId”现成同步规则的问题。 此同步规则是将 ms-DS-ConsistencyGuid 用作源定位点功能所必需的。

  • 修复了即使在启用基于 OU 的筛选的情况下,Azure AD Connect 向导中的“域和 OU 筛选”屏幕也将“同步所有域和 OU”选项显示为选中状态的问题。

  • 修复了单击“刷新”按钮导致 Synchronization Service Manager 中的“配置目录分区”屏幕返回错误的问题。 错误消息为:“刷新域时遇到错误: 无法将 System.Collections.ArrayList 类型的对象强制转换为 Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject 类型。” 将新的 AD 域添加到现有 AD 林并尝试使用“刷新”按钮更新 Azure AD Connect 时出错。

新增功能和改进

  • 自动升级功能已经过扩展,为使用以下配置的客户提供支持:

    • 已启用设备写回功能。
    • 已启用组写回功能。
    • 安装不是快速设置或 DirSync 升级。
    • Metaverse 中的对象超过 100,000 个。
    • 正在连接到多个林。 快速安装只会连接到一个林。
    • AD 连接器帐户不再是默认的 MSOL_ 帐户。
    • 服务器已设置为过渡模式。
    • 已启用用户写回功能。

    Note

    自动升级功能的范围扩展会影响使用 Azure AD Connect 1.1.105.0 和更高版本的客户。 如果不希望自动升级 Azure AD Connect 服务器,必须在 Azure AD Connect 服务器上运行以下 cmdlet:Set-ADSyncAutoUpgrade -AutoUpgradeState disabled。 有关启用/禁用自动升级的详细信息,请参阅 Azure AD Connect:自动升级一文。

1.1.557.0

状态:2017 年 7 月

Note

不通过 Azure AD Connect 自动升级功能向客户提供此内部版本。

具有 Azure AD Connect

修复的问题

  • 修复了 Initialize-ADSyncDomainJoinedComputerSync cmdlet 导致现有服务连接点对象上配置的已验证域发生变化的问题(即使该域仍是有效域)。 当 Azure AD 租户中包含多个可用于配置服务连接点的已验证域时,会出现此问题。

新增功能和改进

  • 现已推出适用于 Azure 政府云与 Microsoft 云德语版的密码写回预览版。 有关 Azure AD Connect 对不同服务实例的支持的详细信息,请参阅 Azure AD Connect:有关实例的特殊注意事项一文。

  • Initialize-ADSyncDomainJoinedComputerSync cmdlet 现在有一个名为 AzureADDomain 的新可选参数。 此参数可以指定要将哪个已验证域用于配置服务连接点。

直通身份验证

新增功能和改进

  • 直通身份验证所需的代理名称已从“Azure AD 应用程序代理连接器”更改为“Azure AD Connect 身份验证代理”。

  • 默认情况下,启用直通身份验证不再会启用密码哈希同步。

1.1.553.0

状态:2017 年 6 月

Important

此版本引入了架构和同步规则更改。 Azure AD Connect 同步服务在升级后会触发完全导入和完全同步步骤。 下面介绍了更改详细信息。 若要在升级后暂时推迟完全导入和完全同步步骤,请参阅如何在升级后推迟完全同步一文。

Azure AD Connect Sync

已知问题

  • 有一个问题会影响将基于 OU 的筛选与 Azure AD Connect 同步配合使用的客户。在 Azure AD Connect 向导中导航到“域和 OU 筛选”页时,预期会出现以下行为:
    • 如果启用了基于 OU 的筛选,“同步选定的域和 OU”选项会处于选中状态。
    • 否则,“同步所有域和 OU”选项处于选中状态。

发生的问题是,运行向导时始终会选择“同步所有域和 OU”选项。 即使之前已配置基于 OU 的筛选,也会发生此问题。 在保存任何 AAD Connect 配置更改之前,请确保已选择“同步选定的域和 OU”选项,并确认所有需要同步的 OU 已重新启用。 否则,会禁用基于 OU 的筛选。

修复的问题

  • 修复了密码写回允许 Azure AD 管理员重置本地 AD 特权用户帐户的密码的问题。 通过特权帐户向 Azure AD Connect 授予“重置密码”权限时,会出现此问题。 此 Azure AD Connect 版本已解决此问题:不再允许 Azure AD 管理员重置任意本地 AD 特权用户帐户的密码,除非该管理员是该帐户的所有者。 有关详细信息,请参阅安全公告 4033453

  • 修复了与将 ms-DS-ConsistencyGuid 用作源定位点功能相关的一个问题,该问题导致 Azure AD Connect 不写回到本地 AD ms-DS-ConsistencyGuid 属性。 如果已将多个本地 AD 林添加到 Azure AD Connect 并且已选择“用户标识跨多个目录存在”选项,则会出现此问题。 使用此类配置时,生成的同步规则不会填充 Metaverse 中的 sourceAnchorBinary 属性。 sourceAnchorBinary 属性用作 ms-DS-ConsistencyGuid 属性的源属性。 因此,不会写回到 ms-DSConsistencyGuid 属性。 为了修复此问题,我们已更新以下同步规则,以确保始终填充 Metaverse 中的 sourceAnchorBinary 属性:

    • In from AD - InetOrgPerson AccountEnabled.xml
    • In from AD - InetOrgPerson Common.xml
    • In from AD - User AccountEnabled.xml
    • In from AD - User Common.xml
    • In from AD - User Join SOAInAAD.xml
  • 以前,即使未启用将 ms-DS-ConsistencyGuid 用作源定位点功能,也会将“Out to AD - User ImmutableId”同步规则添加到 Azure AD Connect。 这具有积极影响,且不会导致出现 ms-DS-ConsistencyGuid 属性写回情况。 为避免混淆,我们添加了逻辑来确保仅当已启用该功能时才添加该同步规则。

  • 修复了导致密码哈希同步失败并出现错误事件 611 的问题。 从本地 AD 中删除一个或多个域控制器后,会出现此问题。 在每个密码同步周期结束时,本地 AD 发出的同步 Cookie 包含已删除的域控制器的调用 ID,其 USN(更新序列号)值为 0。 密码同步管理器无法保存包含 0 值 USN 的同步 Cookie,同时会失败并出现错误事件 611。 在下一个同步周期,密码同步管理器会重复使用上次保存的、不包含 0 值 USN 的同步 Cookie。 这将导致重新同步相同的密码更改。 应用此项修复后,密码同步管理器可正确保存同步 Cookie。

  • 以前,即使已使用 Set-ADSyncAutoUpgrade cmdlet 禁用自动升级,自动升级过程也仍会定期检查升级,并依赖于下载的安装程序来遵循禁用指令。 应用此项修复后,自动升级过程不再会定期检查升级。 执行此 Azure AD Connect 版本的升级安装程序一次,即可自动应用此项修复。

新增功能和改进

  • 以前,将 ms-DS-ConsistencyGuid 用作源定位点功能仅可用于新部署。 现在,该功能适用于现有部署。 更具体地说:

    • 若要访问该功能,请启动 Azure AD Connect 向导并选择“更新源定位点”选项。
    • 只有使用 objectGuid 作为 sourceAnchor 属性的现有部署才会显示此选项。
    • 配置此选项时,向导会验证本地 Active Directory 目录中 ms-DS-ConsistencyGuid 属性的状态。 如果未在目录中的任何用户对象上配置此属性,则向导会将 ms-DS-ConsistencyGuid 用作 sourceAnchor 属性。 如果已在目录中的一个或多个用户对象上配置该属性,向导就会认为该属性正由其他应用程序使用,不适合用作 sourceAnchor 属性,并且不允许源定位点更改继续进行。 如果确定该属性未由现有应用程序使用,则需联系支持部门,了解如何取消显示该错误。
  • 对于设备对象上的 userCertificate 属性,Azure AD Connect 现在会查找将已加入域的设备连接到 Azure AD for Windows 10 体验所需的证书值,并在同步到 Azure AD 之前筛选掉其他证书值。 为了启用此行为,我们已更新现成的同步规则“Out to AAD - Device Join SOAInAD”。

  • Azure AD Connect 现在支持将 Exchange Online cloudPublicDelegates 属性写回到本地 AD publicDelegates 属性。 这样,就可以实现向使用本地 Exchange Online 邮箱的用户授予 SendOnBehalfTo 权限的方案。 为了支持此功能,我们添加了新的现成同步规则“Out to AD - User Exchange Hybrid PublicDelegates writeback”。 仅当已启用 Exchange 混合功能时,才会将此同步规则添加到 Azure AD Connect。

  • Azure AD Connect 现在支持从 Azure AD 同步 altRecipient 属性。 为了支持此项更改,我们已更新以下现成同步规则,并在其中包含所需的属性流:

    • In from AD - User Exchange
    • Out to AAD - User ExchangeOnline
  • Metaverse 中的 cloudSOAExchMailbox 属性指示给定的用户是否具有 Exchange Online 邮箱。 其定义已更新,现在包含设备和会议室邮箱等的其他 Exchange Online RecipientDisplayTypes。 为了启用此项更改,现成同步规则“In from AAD - User Exchange Hybrid”下的 cloudSOAExchMailbox 属性定义已从:

    CBool(IIF(IsNullOrEmpty([cloudMSExchRecipientDisplayType]),NULL,BitAnd([cloudMSExchRecipientDisplayType],&amp;HFF) = 0))
    

    ... 更新为:

    CBool(
      IIF(IsPresent([cloudMSExchRecipientDisplayType]),(
        IIF([cloudMSExchRecipientDisplayType]=0,True,(
          IIF([cloudMSExchRecipientDisplayType]=2,True,(
            IIF([cloudMSExchRecipientDisplayType]=7,True,(
              IIF([cloudMSExchRecipientDisplayType]=8,True,(
                IIF([cloudMSExchRecipientDisplayType]=10,True,(
                  IIF([cloudMSExchRecipientDisplayType]=16,True,(
                    IIF([cloudMSExchRecipientDisplayType]=17,True,(
                      IIF([cloudMSExchRecipientDisplayType]=18,True,(
                        IIF([cloudMSExchRecipientDisplayType]=1073741824,True,(
                          IF([cloudMSExchRecipientDisplayType]=1073741840,True,False)))))))))))))))))))),False))
    
  • 添加了以下 X509Certificate2 兼容函数集,用于创建同步规则表达式来处理 userCertificate 属性中的证书值:

    CertSubject CertIssuer CertKeyAlgorithm
    CertSubjectNameDN CertIssuerOid CertNameInfo
    CertSubjectNameOid CertIssuerDN IsCert
    CertFriendlyName CertThumbprint CertExtensionOids
    CertFormat CertNotAfter CertPublicKeyOid
    CertSerialNumber CertNotBefore CertPublicKeyParametersOid
    CertVersion CertSignatureAlgorithmOid 选择
    CertKeyAlgorithmParams CertHashString Where
    With
  • 引入了以下架构更改,使客户能够创建自定义同步规则来传送组对象的 sAMAccountName、domainNetBios 和 domainFQDN,以及用户对象的 distinguishedName:

    • 已将以下属性添加到 MV 架构:

      • 组:AccountName
      • 组:domainNetBios
      • 组:domainFQDN
      • 用户:distinguishedName
    • 已将以下属性添加到 Azure AD 连接器架构:

      • 组:OnPremisesSamAccountName
      • 组:NetBiosName
      • 组:DnsDomainName
      • 用户:OnPremisesDistinguishedName
  • ADSyncDomainJoinedComputerSync cmdlet 脚本现在有一个名为 AzureEnvironment 的新可选参数。 该参数用于指定相应的 Azure Active Directory 租户托管在哪个区域。 有效值包括:

    • AzureCloud(默认值)
    • AzureChinaCloud
    • AzureGermanyCloud
    • USGovernment
  • 已将同步规则编辑器更新为在创建同步规则期间使用 Join(而不是 Provision)作为链接类型的默认值。

AD FS 管理

修复的问题

新增功能和改进

  • 以前,Azure AD connect 提供的 ADFS 证书管理功能仅适用于通过 Azure AD Connect 管理的 ADFS 场。 现在,此功能也适用于不是使用 Azure AD Connect 管理的 ADFS 场。

1.1.524.0

发布日期:2017 年 5 月

Important

此版本引入了架构和同步规则更改。 Azure AD Connect 同步服务在升级后将触发完全导入和完全同步步骤。 下面介绍了更改详细信息。

已解决的问题:

Azure AD Connect 同步

  • 修复了导致自动升级的问题,即使客户已禁用使用 Set-ADSyncAutoUpgrade cmdlet 的功能在 Azure AD Connect 服务器上发生。 使用此修复后,服务器上的自动升级进程仍升级会定期检查,但下载安装程序自动升级的配置。
  • 在 DirSync 就地升级时,Azure AD Connect 创建由 Azure AD 连接器用于与 Azure AD 同步的 Azure AD 服务帐户。 创建帐户后,Azure AD Connect 使用该帐户在 Azure AD 中进行身份验证。 有时,身份验证由于暂时性问题失败,而这又会导致 DirSync 就地升级失败,并出现错误“执行配置 AAD 同步任务时出错: AADSTS50034: 要登录到此应用程序,必须将帐户添加到 xxx.partner.onmschina.cn 目录。” 为了提高 DirSync 升级的复原能力,Azure AD Connect 现在会重试身份验证步骤。
  • 版本 443 中的某个问题会导致 DirSync 就地升级成功,但不会创建目录同步所需的运行配置文件。 此 Azure AD Connect 版本中包含修复逻辑。 客户升级到此版本时,Azure AD Connect 会检测缺少的运行配置文件并予以创建。
  • 修复了导致无法启动密码同步过程并出现事件 ID 6900 和错误“已添加具有相同键的项”的问题。 如果更新 OU 筛选配置以包含 AD 配置分区,则会出现此问题。 为了修复此问题,密码同步过程现在只会从 AD 域分区同步密码更改。 将跳过非域分区,例如配置分区。
  • 在快速安装期间,Azure AD Connect 会创建一个本地 AD DS 帐户,AD 连接器可使用该帐户来与本地 AD 通信。 以前,创建的帐户在 user-Account-Control 属性中设置了 PASSWD_NOTREQD 标志,并在帐户中设置随机密码。 现在,在帐户中设置密码后,Azure AD Connect 会显式删除 PASSWD_NOTREQD 标志。
  • 修复了当 mailNickname 属性出现在本地 AD 架构中但未绑定到 AD 用户对象类时,导致 DirSync 升级失败并出现错误“尝试获取应用程序锁时,SQL Server 中发生死锁”错误的问题。
  • 修复了当管理员使用 Azure AD Connect 向导更新 Azure AD Connect 同步配置时自动禁用设备写回功能的问题。 之所以出现此问题是因为,向导对本地 AD 中的现有设备写回配置执行先决条件检查,而检查失败。 修复方法是跳过检查以前是否已启用设备写回。
  • 若要配置 OU 筛选,可以使用 Azure AD Connect 向导或 Synchronization Service Manager。 以前,如果使用 Azure AD Connect 向导配置 OU 筛选,则会包含以后新建的 OU 用于目录同步。 如果不想要包含新 OU,则必须使用 Synchronization Service Manager 配置 OU 筛选。 现在,可以获得相同的行为使用 Azure AD Connect 向导。
  • 修复了导致在安装管理架构而不是 dbo 架构下创建 Azure AD Connect 所需存储过程的问题。
  • 修复了导致在 AAD Connect 服务器事件日志中省略 Azure AD 返回的 TrackingId 属性的问题。 如果 Azure AD Connect 从 Azure AD 收到了重定向消息,并且 Azure AD Connect 无法连接到提供的终结点,则会发生此问题。 在故障排除期间,支持工程师使用 TrackingId 来关联服务端日志。
  • Azure AD Connect 从 Azure AD 收到 LargeObject 错误时,会生成 EventID 为 6941 的事件,并返回消息“预配的对象太大。请减少此对象上属性值的数目。” 同时,Azure AD Connect 还会生成 EventID 为 6900 的误导性事件和消息“Microsoft.Online.Coexistence.ProvisionRetryException: 无法与 Azure Active Directory 服务通信。” 为了尽量减少混淆,在收到 LargeObject 错误时,Azure AD Connect 不再生成后一种事件。
  • 修复了当尝试更新通用 LDAP 连接器的配置时,Synchronization Service Manager 无法响应的问题。

新功能/改进:

Azure AD Connect 同步

  • 同步规则更改 – 实现了以下同步规则更改:

    • 如果属性有 15 个以上的值,更新的默认同步规则设置为不导出属性 userCertificateuserSMIMECertificate
    • AD 属性 employeeIDmsExchBypassModerationLink 现在包含在默认同步规则集中。
    • AD 属性 photo 已从默认同步规则集中删除。
    • 已将 preferredDataLocation 添加到 Metaverse 架构和 AAD 连接器架构。 想要在 Azure AD 中更新任一属性的客户可以实现自定义同步规则。
    • 已将 userType 添加到 Metaverse 架构和 AAD 连接器架构。 客户想要在 Azure AD 中更新任一属性可以实现自定义同步规则,可以这样做。
  • Azure AD Connect 现在会自动启用 ConsistencyGuid 属性作为本地 AD 对象的源定位点属性。 此外,Azure AD Connect 会使用 objectGuid 属性值填充 ConsistencyGuid 属性(如果为空)。 此功能仅适用于新部署。 要了解有关此功能的详细信息,请参阅 Azure AD Connect:设计概念 - 将 ms-DS-ConsistencyGuid 用作 sourceAnchor 部分。

  • 已添加新的故障排除 cmdlet Invoke-ADSyncDiagnostics,以帮助诊断密码哈希同步相关的问题。 有关使用此 cmdlet 的信息,请参阅使用 Azure AD Connect 同步排查密码哈希同步问题
  • Azure AD Connect 现在支持将启用邮件的公共文件夹对象从本地 AD 同步到 Azure AD。 可以使用 Azure AD Connect 向导中的“可选功能”启用该功能。 若要了解有关此功能的详细信息,请参阅基于 Office 365 目录的边缘阻止对启用邮件的本地公共文件夹的支持一文。
  • Azure AD Connect 要求从本地 AD 同步 AD DS 帐户。 以前,如果使用“快速”模式安装了 Azure AD Connect,则可以提供企业管理员帐户的凭据,Azure AD Connect 会创建所需的 AD DS 帐户。 但是,对于自定义安装以及要将林添加到现有部署的情况,必须提供 AD DS 帐户。 现在,还可以在自定义安装过程中选择提供企业管理员帐户的凭据,并让 Azure AD Connect 创建所需的 AD DS 帐户。
  • Azure AD Connect 现在支持 SQL AOA。 安装 Azure AD Connect 之前,必须启用 SQL AOA。 在安装期间,Azure AD Connect 会检测是否已为提供的 SQL 实例启用 SQL AOA。 如果启用了 SQL AOA,Azure AD Connect 进一步指出如果 SQL AOA 配置为使用同步复制或异步复制。 设置可用性组侦听器时,我们建议将 RegisterAllProvidersIP 属性设置为 0。 之所以提供此建议是因为,Azure AD Connect 当前使用 SQL Native Client 连接到 SQL,并且 SQL Native Client 不支持使用 MultiSubNetFailover 属性。
  • 如果将 LocalDB 用作 Azure AD Connect 的数据库并且已达到该数据库的 10-GB 限制,同步服务不再启动。 以前,需要对 LocalDB 执行 ShrinkDatabase 操作,以回收足够的数据库空间来启动同步服务。 后来,可以使用 Synchronization Service Manager 来删除运行历史记录,以回收更多的数据库空间。 现在,可以使用 Start-ADSyncPurgeRunHistory cmdlet 从 LocalDB 中清除运行历史记录数据,以回收数据库空间。 此外,此 cmdlet 支持脱机模式(通过指定 -offline 参数),同步服务未运行时可以使用该模式。 注意:仅当同步服务未运行,并且使用的数据库为 LocalDB 时,才能使用脱机模式。
  • 为了减少所需的存储空间量,Azure AD Connect 现在会先压缩同步错误详细信息,并将它们存储在 LocalDB/SQL 数据库中。 从旧版 Azure AD Connect 升级到此版本时,Azure AD Connect 会针对现有的同步错误详细信息执行一次性压缩。
  • 以前,在更新 OU 筛选配置后,必须手动运行完全导入才能确保在目录同步中正确包含/排除现有对象。 现在,Azure AD Connect 会在下一个同步周期自动触发完全导入。 此外,完全导入仅应用到受更新影响的 AD 连接器。 注意:此项改进仅适用于使用 Azure AD Connect 向导所做的 OU 筛选更新, 而不适用于使用 Synchronization Service Manager 所做的 OU 筛选更新。
  • 以前,基于组的筛选仅支持用户、组和联系人对象。 现在,基于组的筛选还支持计算机对象。
  • 以前,可以删除连接器空间数据,而无需禁用 Azure AD Connect 同步计划程序。 现在,如果 Synchronization Service Manager 检测到计划程序已启用,则会阻止删除连接器空间数据。 此外,如果连接器空间数据已被删除,则还会返回警告,告知客户可能有数据丢失。
  • 以前,必须禁用 PowerShell 脚本才能让 Azure AD Connect 向导正常运行。 此问题已部分解决。 如果使用 Azure AD Connect 向导来管理同步配置,则可以启用 PowerShell 脚本。 如果使用 Azure AD Connect 向导来管理 ADFS 配置,则必须禁用 PowerShell 脚本。

1.1.486.0

发布日期:2017 年 4 月

已解决的问题:

  • 修复了 Azure AD Connect 无法在本地化版本的 Windows Server 上成功安装的问题。

1.1.484.0

发布日期:2017 年 4 月

已知问题:

  • 如果以下条件全部成立,则不能成功安装 Azure AD Connect 的此版本:
    1. 正在执行 DirSync 的就地升级或 Azure AD Connect 的全新安装。
    2. 使用的是本地化版本的 Windows Server,该服务器上的内置 Administrator 组的名称不是“Administrators”。
    3. 使用的是随 Azure AD Connect 一起安装的默认 SQL Server 2012 Express LocalDB,而不是自己的完整 SQL。

已解决的问题:

Azure AD Connect 同步

  • 修复了当一个或多个连接器缺少某个同步步骤的运行配置文件时,同步计划程序会完全跳过这一同步步骤的问题。 例如,使用 Synchronization Service Manager 手动添加了连接器,但没有为其创建增量导入运行配置文件。 此项修复可确保同步计划程序继续运行其他连接器的增量导入。
  • 修复了当 Synchronization Service 在运行步骤的其中一步遇到问题时,立即停止处理运行配置文件的问题。 此项修复可确保 Synchronization Service 会跳过该运行步骤,并继续处理其余步骤。 例如,具有多个运行步骤的 AD 连接器的增量导入运行配置文件(每个本地 AD 域一个步骤)。 即使其中一个 AD 域出现网络连接问题,Synchronization Service 也会运行其他 AD 域的增量导入。
  • 修复了自动升级期间会跳过 Azure AD 连接器更新的问题。
  • 修复了安装过程中 Azure AD 连接器不能正确识别服务器是否是域控制器,进而导致 DirSync 升级失败的问题。
  • 修复了 DirSync 就地升级不会为 Azure AD 连接器创建任何运行配置文件的问题。
  • 修复了当尝试配置通用的 LDAP 连接器时,Synchronization Service Manager 用户界面无法响应的问题。

AD FS 管理

  • 修复了如果 AD FS 主节点已移至其他服务器,Azure AD Connect 向导失败的问题。

桌面 SSO

  • 修复了 Azure AD Connect 向导中的问题,即在新的安装过程中,如果选择“密码同步”作为登录选项,则无法在登录屏幕中启用桌面 SSO 功能的问题。

新功能/改进:

Azure AD Connect 同步

  • Azure AD Connect Sync 现在支持使用虚拟服务帐户、托管服务帐户和组托管服务帐户作为其服务帐户。 此功能仅适用于新安装的 Azure AD Connect。 安装 Azure AD Connect 时:
    • 默认情况下,Azure AD Connect 向导会创建一个虚拟服务帐户,并将其用作服务帐户。
    • 如果是在域控制器上进行安装,Azure AD Connect 会回退到之前的处理方式,即创建一个域用户帐户,并将其用作服务帐户。
    • 可以通过提供以下帐户之一来替代默认的处理方式:
      • 组托管服务帐户
      • 托管服务帐户
      • 域用户帐户
      • 本地用户帐户
  • 以前,如果升级到的 Azure AD Connect 新版本中更新了连接器或更改了同步规则,Azure AD Connect 将触发完全同步周期。 现在,Azure AD Connect 有选择性地仅对进行了更新的连接器触发完全导入步骤,对更改了同步规则的连接器触发完全同步步骤。
  • 以前,导出删除阈值仅适用于通过同步计划程序触发的导出。 现在,此功能扩展到了适用于客户使用 Synchronization Service Manager 手动触发导出的情况。
  • Azure AD 租户有一个服务配置,该配置指示了是否已为租户启用密码同步功能。 以前,同时拥有活动和暂存服务器时,Azure AD Connect 很容易错误配置服务配置。 现在,Azure AD Connect 会尝试让服务配置只和活动 Azure AD Connect 服务器保持一致。
  • 如果本地 AD 未启用 AD 回收站,Azure AD Connect 向导会检测并返回警告。
  • 以前,如果批中的对象总大小超过特定阈值,导出到 Azure AD 会超时并失败。 现在遇到此问题时,Synchronization Service 会再次尝试以较小批次单独重新发送对象。
  • 已经将 Synchronization Service Key Management 应用程序从 Windows 开始菜单中删除。 仍然支持使用 miiskmu.exe 通过命令行接口管理加密密钥。 有关加密密钥的详细信息,请参阅弃用 Azure AD Connect 同步加密密钥一文。
  • 以前,如果更改了 Azure AD Connect 同步服务帐户密码,则无法正常启动 Synchronization Service,除非已弃用加密密钥并重新初始化 Azure AD Connect 同步服务帐户密码。 现在不再需要执行此过程。

桌面 SSO

  • 配置传递身份验证和桌面 SSO 时,Azure AD Connect 向导不再需要在网络上打开端口 9090。 只需要端口 443。 

1.1.443.0

发布日期:2017 年 3 月

已解决的问题:

Azure AD Connect 同步

  • 修复了在 Azure AD 连接器的显示名称没有包含分配给 Azure AD 租户的初始 onmicrosoft.com 域时,Azure AD Connect 向导会失败的问题。
  • 修复了在同步服务帐户的密码包含特殊字符(如撇号、冒号和空格)的情况下,在与 SQL 数据库进行连接时,Azure AD Connect 向导会失败的问题。
  • 修复了在暂时不同步某个本地 AD 对象,再将其进行同步后,暂存模式下的 Azure AD Connect 服务器上将出现“该 dimage 具有不同于映像的定位点”错误的问题。
  • 修复了在暂时不同步某个本地 AD 对象,再将其进行同步后,暂存模式下的 Azure AD Connect 服务器上将出现“DN 定位的对象是一个幻影”错误的问题。

AD FS 管理

  • 修复了在配置备用登录 ID 后,Azure AD Connect 向导不会更新 AD FS 配置并设置对信赖方信任的正确声明的问题。
  • 修复了 Azure AD Connect 向导无法正确处理 AD FS 服务器(该服务器的服务帐户是通过 userPrincipalName 格式设置的,而不是 sAMAccountName 格式)的问题。

直通身份验证

  • 修复了在选择了“直通身份验证”但其连接器注册失败时,Azure AD Connect 向导会失败的问题。
  • 修复了在启用了桌面 SSO 功能时,Azure AD Connect 向导将绕过对所选登录方法的验证检查。

密码重置

  • 修复了当连接已由防火墙或代理终止时,可能会导致 Azure AAD Connect 服务器不尝试重新连接的问题。

新功能/改进:

Azure AD Connect 同步

  • Get-ADSyncScheduler cmdlet 现在可返回一个名为 SyncCycleInProgress 的新的布尔属性。 如果返回的值为 true,则意味着正在进行计划的同步周期。
  • 已用于存储 Azure AD Connect 安装和安装程序日志的目标文件夹从 %localappdata%\AADConnect 移至 %programdata%\AADConnect,以提高日志文件的访问性。

AD FS 管理

  • 添加了对更新 AD FS 场 SSL 证书的支持。
  • 添加了对管理 AD FS 2016 的支持。
  • 现在可以在 AD FS 安装期间指定现有 gMSA(组托管服务帐户)。
  • 现在可以将 SHA-256 配置为 Azure AD 信赖方信任的签名哈希算法。

密码重置

  • 引入了多项改进,以允许产品在具有更严格防火墙规则的环境中正常工作。
  • 提高了与 Azure 服务总线的连接可靠性。

1.1.380.0

发布日期:2016 年 12 月

修复的问题:

  • 修复了本版本中缺少针对 Active Directory 联合身份验证服务 (AD FS) 的 issuerid 声明规则的问题。

Note

不通过 Azure AD Connect 自动升级功能向客户提供此内部版本。

1.1.371.0

发布日期:2016 年 12 月

已知问题:

  • 本版本中缺少针对 AD FS 的 issuerid 声明规则。 若要将多个域与 Azure Active Directory (Azure AD) 联合,需要使用 issuerid 声明规则。 如果使用 Azure AD Connect 管理本地 AD FS 部署,则升级到此版本将从 AD FS 配置中删除现有 issuerid 声明规则。 可在安装/升级后添加 issuerid 声明规则来解决此问题。 有关添加 issuerid 声明规则的详细信息,请参阅与 Azure AD 联合的多域支持一文。

修复的问题:

  • 如果未打开用于出站连接的端口 9090,Azure AD Connect 安装或升级会失败。

Note

不通过 Azure AD Connect 自动升级功能向客户提供此内部版本。

1.1.370.0

发布日期:2016 年 12 月

已知问题:

  • 本版本中缺少针对 AD FS 的 issuerid 声明规则。 若要将多个域与 Azure AD 联合,需使用 issuerid 声明规则。 如果使用 Azure AD Connect 管理本地 AD FS 部署,则升级到此版本将从 AD FS 配置中删除现有 issuerid 声明规则。 可在安装/升级后添加 issuerid 声明规则来解决此问题。 有关添加 issuerid 声明规则的详细信息,请参阅与 Azure AD 联合的多域支持一文。
  • 必须打开用于出站连接的端口 9090 才能完成安装。

新功能:

  • 直通身份验证(预览版)。

Note

不通过 Azure AD Connect 自动升级功能向客户提供此内部版本。

1.1.343.0

发布日期:2016 年 11 月

已知问题:

  • 本版本中缺少针对 AD FS 的 issuerid 声明规则。 若要将多个域与 Azure AD 联合,需使用 issuerid 声明规则。 如果使用 Azure AD Connect 管理本地 AD FS 部署,则升级到此版本将从 AD FS 配置中删除现有 issuerid 声明规则。 可在安装/升级后添加 issuerid 声明规则来解决此问题。 有关添加 issuerid 声明规则的详细信息,请参阅与 Azure AD 联合的多域支持一文。

已解决的问题:

  • 有时,由于无法创建密码符合组织密码策略指定的复杂性级别的本地服务帐户,安装 Azure AD Connect 失败。
  • 解决了当连接器空间中的某个对象既在一个联接规则的范围以外,同时又在另一个联接规则的范围以内时,无法重新评估联接规则的问题。 如果两个或更多个联接规则的联接条件互斥,则可能会发生此问题。
  • 解决了当(Azure AD 中)不包含联接规则的入站同步规则的优先级值低于包含联接规则的入站同步规则时,不处理前一种规则的问题。

改进:

  • 添加了在 Windows Server 2016 标准版或更高版本上安装 Azure AD Connect 的支持。
  • 添加了将 SQL Server 2016 用作 Azure AD Connect 远程数据库的支持。

1.1.281.0

发布日期:2016 年 8 月

已解决的问题:

  • 只有在下一个同步周期完成后,才对同步间隔进行更改。
  • Azure AD Connect 向导不接受用户名开头为下划线 (_) 的 Azure AD 帐户。
  • 如果帐户密码包含太多特殊字符,Azure AD Connect 向导无法对提供的 Azure AD 帐户进行身份验证。 此时会返回错误消息“无法验证凭据。 发生意外错误” 。
  • 卸载暂存服务器会在 Azure AD 租户中禁用密码同步,导致活动服务器的密码同步失败。
  • 在用户未存储密码哈希的罕见情况下,密码同步失败。
  • 当 Azure AD Connect 服务器启用暂存模式时,不会暂时禁用密码写回。
  • 当服务器处于暂存模式时,Azure AD Connect 向导不会显示实际的密码同步和密码写回配置, 而始终将这些配置显示为已禁用。
  • 当服务器处于暂存模式时,Azure AD Connect 向导不会保存密码同步和密码写回的配置更改。

改进:

  • 已更新 Start-ADSyncSyncCycle cmdlet,指出是否能够成功启动新的同步周期。
  • 已添加 Stop-ADSyncSyncCycle cmdlet,终止当前正在进行的同步周期和操作。
  • 已更新 Stop-ADSyncScheduler cmdlet,终止当前正在进行的同步周期和操作。
  • 在 Azure AD Connect 向导中配置目录扩展时,现在可选择“Teletex 字符串”类型的 Azure AD 属性。

1.1.189.0

发布日期:2016 年 6 月

已解决的问题和改进:

  • Azure AD Connect 现在可以安装于符合 FIPS 的服务器上。
  • 已修复下列问题:NetBIOS 名称无法解析为 Active Directory 连接器中的 FQDN。

1.1.180.0

发布日期:2016 年 5 月

新功能:

  • 警告并帮助验证域(如果在运行 Azure AD Connect 之前未执行此操作)。
  • 添加了对德国 Microsoft 云的支持。
  • 添加了对最新 Azure 政府云基础结构的支持,以及新的 URL 要求。

已解决的问题和改进:

  • 在同步规则编辑器中添加了筛选功能以方便查找同步规则。
  • 改进了删除连接器空间时的性能。
  • 修复了在同一个运行轮次中同时删除和添加(称为删除/添加)同一个对象时出现的问题。
  • 在升级或刷新目录架构时,已禁用的同步规则不再重新启用包含的对象和属性。

1.1.130.0

发布日期:2016 年 4 月

新功能:

1.1.119.0

发布日期:2016 年 3 月

已解决的问题:

  • 确定 Windows Server 2008(R2 之前的版本)上无法使用快速安装,因为此操作系统不支持密码同步。
  • 使用自定义筛选器配置从 DirSync 升级无法按预期进行。
  • 升级到较新版本且没有进行任何配置更改时,不应计划完全导入/同步。

1.1.110.0

发布日期:2016 年 2 月

已解决的问题:

  • 如果安装不位于默认的 C:\Program Files 文件夹中,则无法从旧版升级。
  • 如果进行安装,并在安装向导结束时清除“启动同步过程”,再次运行安装向导将不启用计划程序。
  • 在日期/时间格式并非美国英语的服务器上,计划程序将无法正常运行。 此外,还会阻止 Get-ADSyncScheduler 返回正确的时间。
  • 如果以 AD FS 作为登录选项和升级来安装旧版 Azure AD Connect,便无法再次运行安装向导。

1.1.105.0

发布日期:2016 年 2 月

新功能:

  • 适用于快速设置客户的自动升级功能。
  • 使用安装向导中的 Azure 多重身份验证和 Privileged Identity Management 来提供全局管理员支持。
  • 允许在初始安装之后更改用户的登录方法。
  • 允许在安装向导中使用域和 OU 筛选。 这也允许连接到并非所有域都可供使用的林。
  • 计划程序是同步引擎的内置功能。

从预览版升级到 GA 的功能:

新的预览功能:

  • 新的默认同步周期间隔为 30 分钟。 过去所有旧版本都是 3 小时。 添加了对更改计划程序行为的支持。

已解决的问题:

  • 验证 DNS 域页面不一定都能识别域。
  • 配置 AD FS 时出现域管理员凭据提示。
  • 当本地 AD 帐户所在域的 DNS 树与根域不同时,安装向导无法识别这些帐户。

1.0.9131.0

发布日期:2015 年 12 月

已解决的问题:

  • 更改 Active Directory 域服务 (AD DS) 中的密码时,密码同步可能不会正常工作,但设置密码时可以正常工作。
  • 如果设置了代理服务器,在安装期间或者在配置页上取消升级时,向 Azure AD 进行身份验证可能会失败。
  • 如果不是 SQL Server 系统管理员 (SA),从装有完整 SQL Server 实例的旧版 Azure AD Connect 更新会失败。
  • 从装有远程 SQL Server 的旧版 Azure AD Connect 更新时,会显示错误消息“无法访问 ADSync SQL 数据库”。

1.0.9125.0

发布日期:2015 年 11 月

新功能:

  • 可将 AD FS 重新配置为 Azure AD 信任。
  • 可以刷新 Active Directory 架构和重新生成同步规则。
  • 可以禁用同步规则。
  • 可将“AuthoritativeNull”定义为同步规则中的新文本。

新的预览功能:

新的受支持方案:

已解决的问题:

  • 密码同步问题:
    • 从范围外移到范围内的对象不会同步其密码。 这包括 OU 和属性筛选。
    • 选择要包含在同步中的新 OU 时不需要完全密码同步。
    • 启用已禁用的用户时密码不会同步。
    • 密码重试队列是无限的,以前实施的 5,000 个对象限制已停用且已被删除。
  • 无法连接到具有 Windows Server 2016 林功能级别的 Active Directory。
  • 初始安装后,无法更改用于组筛选的组。
  • 对于在启用密码写回的情况下执行密码更改的每个用户,不再能够在 Azure AD Connect 服务器上创建新的用户配置文件。
  • 无法在同步规则范围内使用长整数值。
  • 如果有无法访问的域控制器,“设备写回”复选框将保持禁用状态。

1.0.8667.0

发布日期:2015 年 8 月

新功能:

  • Azure AD Connect 安装向导现已本地化为所有 Windows Server 语言。
  • 添加了对在使用 Azure AD 密码管理时的帐户解锁支持。

已解决的问题:

  • 如果另一位用户而不是第一位启动安装的人继续安装,则 Azure AD Connect 安装向导会崩溃。
  • 如果 Azure AD Connect 的先前卸载操作无法将 Azure AD Connect Sync 完全卸载,则无法重新安装。
  • 如果用户不在林的根域中或使用了非英文版 Active Directory,则无法使用快速安装选项安装 Azure AD Connect。
  • 如果无法解析 Active Directory 用户帐户的 FQDN,则会显示“无法提交架构”的误导性错误消息。
  • 如果 Active Directory 连接器上使用的帐户已在向导外部更改,向导在进行后续操作时会失败。
  • Azure AD Connect 有时无法在域控制器上安装。
  • 如果添加了扩展属性,则无法启用和禁用“暂存模式”。
  • 由于 Active Directory 连接器上的密码不正确,某些配置中的密码写回失败。
  • 如果属性筛选中使用可分辨名称 (DN),则无法升级 DirSync。
  • 使用密码重置时 CPU 使用率过高。

已删除的预览功能:

1.0.8641.0

发布日期:2015 年 6 月

Azure AD Connect 的初始版本。

名称从 Azure AD Sync 更改为 Azure AD Connect。

新功能:

1.0.494.0501

发布日期:2015 年 5 月

新要求:

  • Azure AD Sync 现在要求安装 .NET framework 版本 4.5.1。

已解决的问题:

  • 从 Azure AD 进行密码写回失败并出现 Azure 服务总线连接错误。

1.0.491.0413

发布日期:2015 年 4 月

已解决的问题和改进:

  • 如果已启用回收站且林中存在多个域,Active Directory 连接器不会正确处理删除。
  • 对 Azure Active Directory 连接器的导入操作性能有所改进。
  • 当某个组超过成员资格限制(默认情况下,此限制设置为 50,000 个对象)时,便会在 Azure Active Directory 中删除该组。 新行为是不删除该组、引发错误且不导出新的成员身份更改。
  • 如果连接器空间中已经存在 DN 相同的暂存删除,则无法设置新对象。
  • 某些对象需在增量同步期间同步,即使对象上未暂存更改。
  • 强制密码同步还会删除首选的 DC 列表。
  • CSExportAnalyzer 的某些对象状态存在问题。

新功能:

  • 联接现在可以连接到 MV 中的“任何”对象类型。

1.0.485.0222

发布日期:2015 年 2 月

改进:

  • 改进了导入性能。

已解决的问题:

  • 密码同步具有属性筛选所用的 cloudFiltered 属性。 已筛选的对象不再在密码同步范围中。
  • 在拓扑中有大量域控制器的极少数情况下,密码同步不起作用。
  • 在 Azure AD/Intune 中启用设备管理后,在从 Azure AD 连接器导入时,“服务器停止”。
  • 从同一林中的多个域联接外部安全主体 (FSP) 会导致模糊联接错误。

1.0.475.1202

发布日期:2014 年 12 月

新功能:

  • 现在支持使用基于属性的筛选执行密码同步。 有关详细信息,请参阅使用筛选进行密码同步
  • ms-DS-ExternalDirectoryObjectID 属性将写回 Active Directory。 此功能添加了对 Office 365 应用程序的支持。 它使用 OAuth2 访问混合 Exchange 部署中的联机邮箱和本地邮箱。

修复了升级问题:

  • 服务器上提供了登录助手的更新版本。
  • 自定义安装路径用于安装 Azure AD Sync。
  • 无效的自定义加入条件阻止了升级。

其他修复:

  • 修复了 Office Pro Plus 的模板。
  • 修复了以短划线开头的用户名导致的安装问题。
  • 修复了第二次运行安装向导时丢失 sourceAnchor 设置的问题。
  • 修复了用于密码同步的 ETW 跟踪。

1.0.470.1023

发布日期:2014 年 10 月

新功能:

  • 从多个本地 Active Directory 到 Azure AD 的密码同步。
  • 已将安装 UI 本地化为所有的 Windows Server 语言。

从 AADSync 1.0 正式版升级

如果已安装 Azure AD Sync,则还必须执行另外一个步骤(考虑到可能已更改现成的同步规则)。 在升级到 1.0.470.1023 版之后,已修改的同步规则被复制。 对于每个已修改的同步规则,请执行以下操作:

  1. 找到已修改的同步规则,并记下所做的更改。
  2. 删除同步规则。
  3. 找到由 Azure AD Sync 创建的新同步规则,并重新应用所做的更改。

Active Directory 帐户的权限

必须为 Active Directory 帐户授予其他权限,才能从 Active Directory 读取密码哈希。 要授予的权限称为“复制目录更改”和“复制目录更改所有项”。 需要这两个权限才能读取密码哈希。

1.0.419.0911

发布日期:2014 年 9 月

Azure AD Sync 的初始版本。

后续步骤

了解有关 将本地标识与 Azure Active Directory 集成的详细信息。