本教程将逐步演示如何将云同步添加到现有的混合标识环境。
可以使用本教程中创建的环境进行测试,或者加深了解混合标识的工作原理。
在此方案中,存在一个通过 Microsoft Entra Connect Sync 同步到 Microsoft Entra 租户的现有森林。 并且你有一个新林,你希望同步到同一个Microsoft Entra租户。 你将为新林设置云同步。
先决条件
在Microsoft Entra管理中心
- 在Microsoft Entra租户上创建仅限云的混合标识管理员帐户。 这样一来,就可以在本地服务出现故障或不可用时管理租户的配置。 了解如何添加仅限云的混合标识管理员帐户。 完成此步骤至关重要,可确保自己不被锁定在租户外部。
- 将一个或多个自定义域名添加到 Microsoft Entra 租户。 用户可以使用其中一个域名登录。
在本地环境中
识别一台已加入域的主机服务器,该服务器运行 Windows Server 2012 R2 或更高版本,具备至少 4 GB 的 RAM 和 .NET 4.7.1 或更高版本的运行时。
如果服务器和Microsoft Entra ID之间有防火墙,请配置以下项:
确保代理可以通过以下端口向 Microsoft Entra ID 发出 outbound 请求:
端口号 用途 80 下载证书吊销列表 (CRL) 的同时验证 TLS/SSL 证书 443 处理与服务的所有出站通信 8080(可选) 如果端口 443 不可用,代理每隔 10 分钟通过端口 8080 报告其状态。 此状态会显示在门户上。 如果防火墙根据始发用户实施规则,请为作为网络服务运行的 Windows 服务的流量开启这些端口。
如果防火墙或代理允许指定安全后缀,请添加到 *.msappproxy.net 和 *.servicebus.chinacloudapi.cn 的连接。 否则,允许访问每周更新的 Azure 数据中心 IP 地址范围。
代理需要访问 login.chinacloudapi.cn 和 login.partner.microsoftonline.cn 用于初始注册。 另外,还请为这些 URL 打开防火墙。
为验证证书,请取消阻止以下 URL:mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80 和 www.microsoft.com:80。 由于这些 URL 用于与其他 Microsoft 产品进行证书验证,因此您可能已将这些 URL 解锁。
安装Microsoft Entra预配代理
如果使用 Basic AD 和 Azure 环境教程,则为 DC1。 若要安装代理,请执行以下步骤:
以至少 Hybrid Identity Administrator 身份登录到 Microsoft Entra 管理中心。
在左窗格中,选择 “Entra Connect”,然后选择“ 云同步”。
在左侧窗格中,选择“代理”。
选择“下载本地代理”,然后选择“接受条款并下载”。
下载 Microsoft Entra Connect 预配代理包后,从下载文件夹运行 AADConnectProvisioningAgentSetup.exe 安装文件。
在打开的屏幕上,选中“我同意许可条款和条件”复选框,然后选择“安装”。
在安装完成后,会打开配置向导。 选择“下一步”以开始配置。
使用至少具有 混合标识管理员 角色的帐户登录。 如果已启用Internet Explorer增强的安全性,则会阻止登录。 如果是,请关闭安装,禁用Internet Explorer增强的安全性,然后重新启动Microsoft Entra预配代理包安装。
在“配置服务帐户”屏幕上,选择一个组托管服务帐户 (gMSA)。 此帐户用于运行代理服务。 如果已在域中由另一个代理配置托管服务帐户,并且你要安装第二个代理,请选择“创建 gMSA”。 系统检测现有帐户,并添加新代理使用 gMSA 帐户所需的权限。 出现提示时,请选择下面两个选项之一:
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如,
CONTOSO\provAgentgMSA$)是在主机服务器加入的同一Active Directory域中创建的。 若要使用此选项,请输入Active Directory域管理员凭据(建议)。 - 使用自定义 gMSA:提供你已为此任务手动创建的托管服务帐户的名称。
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如,
若要继续操作,请选择“下一步”。
在 Connect Active Directory 屏幕上,如果域名出现在 已配置的域下,请跳到下一步。 否则,请输入Active Directory域名,然后选择 添加目录。
使用Active Directory域管理员帐户登录。 域管理员帐户不应具有过期的密码。 如果密码在安装期间过期或发生更改,请使用新凭据重新配置代理。 此操作将添加您的本地目录。 选择“确定”,然后选择“下一步”以继续。
选择“下一步”以继续。
在“配置完成”屏幕上,选择“确认”。 此操作注册并重新启动代理。
操作完成后,会显示一条通知,指出代理配置已成功验证。 选择退出。 如果仍然显示初始屏幕,请单击“关闭”。
验证代理安装
代理验证发生在Azure门户和运行代理的本地服务器上。
在 Azure 门户中验证代理
若要验证Microsoft Entra ID注册代理,请执行以下步骤:
以至少 Hybrid Identity Administrator 身份登录到 Microsoft Entra 管理中心。
选择 Entra Connect,然后选择 “云同步”。
在 “云同步 ”页上,单击“ 代理 ”以查看安装的代理。 验证代理是否显示,以及状态是否 处于活动状态。
验证本地服务器上的代理
若要验证代理是否正在运行,请执行以下步骤:
使用管理员帐户登录到服务器。
转到“服务”。 还可以使用 Start/Run/Services.msc 来访问它。
在 服务 下,确保 Azure AD Connect 代理程序更新器 和 Azure AD Connect 预配代理程序 存在,且状态为 正在运行。
验证预配代理版本
若要验证正在运行的代理版本,请执行以下步骤:
- 转到 C:\Program Files\Azure AD Connect 预配代理。
- 右键单击“AADConnectProvisioningAgent.exe”并选择“属性”。
- 选择“详细信息”选项卡。版本号显示在产品版本旁边。
配置Microsoft Entra云同步
使用以下步骤配置预配:
以至少 Hybrid Identity Administrator 身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云端同步。
- 选择“新建配置”
- 在配置屏幕上输入“通知电子邮件”,将选择器切换到“启用”,然后选择“保存”。
- 现在,配置状态应为“正常”。
验证是否已创建用户并正在进行同步
现在,你将验证是否已将我们本地目录中的用户同步到我们Microsoft Entra租户中。 此过程可能需要几小时才能完成。 要验证用户是否已同步,请执行以下操作:
- 以至少 Hybrid Identity Administrator 身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>用户。
- 验证租户中是否显示了新用户
使用我们的某位用户测试登录
使用在我们的新租户中创建的用户帐户登录。 需要使用以下格式登录:(user@domain.partner.onmschina.cn)。 使用用户用于在本地登录的相同密码。
现已成功设置混合标识环境,可用于测试和熟悉Azure提供的内容。