本教程将逐步演示如何将云同步添加到现有的混合标识环境。
可以使用本教程中创建的环境进行测试,或者加深了解混合标识的工作原理。
在此方案中,有一个现有的林已通过 Microsoft Entra Connect 同步功能同步到 Microsoft Entra 租户。 你想要将一个新林同步到同一个 Microsoft Entra 租户。 你将为新林设置云同步。
先决条件
在 Microsoft Entra 管理中心
- 在 Microsoft Entra 租户上创建仅限云的混合标识管理员帐户。 这样一来,就可以在本地服务出现故障或不可用时管理租户的配置。 了解如何添加仅限云的混合标识管理员帐户。 完成此步骤至关重要,可确保自己不被锁定在租户外部。
- 向 Microsoft Entra 租户添加一个或多个自定义域名。 用户可以使用其中一个域名登录。
在本地环境中
指定一台已加入域、运行 Windows Server 2012 R2 或更高版本、至少有 4-GB RAM 且装有 .NET 4.7.1+ 运行时的主机服务器
如果服务器与 Microsoft Entra ID 之间存在防火墙,请配置以下项:
确保代理能够通过以下端口对 Microsoft Entra ID 发起出站请求。
端口号 用途 80 下载证书吊销列表 (CRL) 的同时验证 TLS/SSL 证书 443 处理与服务的所有出站通信 8080(可选) 如果端口 443 不可用,代理每隔 10 分钟通过端口 8080 报告其状态。 此状态会显示在门户上。 如果您的防火墙根据发起连接的用户实施规则,请打开这些端口以允许来自以网络服务身份运行的 Windows 服务的流量。
如果防火墙或代理允许指定安全后缀,请添加到 *.msappproxy.net 和 *.servicebus.chinacloudapi.cn 的连接。 否则,请允许访问每周更新的 Azure 数据中心 IP 范围。
代理需要访问 login.chinacloudapi.cn 和 login.partner.microsoftonline.cn 用于初始注册。 另外,还请为这些 URL 打开防火墙。
为验证证书,请取消阻止以下 URL:mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80 和 www.microsoft.com:80。 鉴于这些 URL 用于与其他 Microsoft 产品的证书验证,您可能已经解锁这些 URL。
安装 Microsoft Entra 预配代理
如果使用的是基本 AD 和 Azure 环境教程,则该服务器是 DC1。 若要安装代理,请执行以下步骤:
请以至少混合身份管理员的身份登录Microsoft Entra 管理中心。
在左窗格中,选择 “Entra Connect”,然后选择“ 云同步”。
在左侧窗格中,选择“代理”。
选择“下载本地代理”,然后选择“接受条款并下载”。
下载 Microsoft Entra Connect 预配代理包后,请运行 downloads 文件夹中的 AADConnectProvisioningAgentSetup.exe 安装文件。
在打开的屏幕上,选中“我同意许可条款和条件”复选框,然后选择“安装”。
在安装完成后,会打开配置向导。 选择“下一步”以开始配置。
使用至少具有 混合标识管理员 角色的帐户登录。 如果启用了 Internet Explorer 增强的安全性,那么它会阻止登录。 如果是,请关闭安装, 禁用 Internet Explorer 增强的安全性,并重启Microsoft Entra 预配代理包安装。
在“配置服务帐户”屏幕上,选择一个组托管服务帐户 (gMSA)。 此帐户用于运行代理服务。 如果已在域中由另一个代理配置托管服务帐户,并且你要安装第二个代理,请选择“创建 gMSA”。 系统检测现有帐户,并添加新代理使用 gMSA 帐户所需的权限。 出现提示时,请选择下面两个选项之一:
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如
CONTOSO\provAgentgMSA$)是在主机服务器加入的同一 Active Directory 域中创建的。 若要使用此选项,请输入 Active Directory 域管理员凭据(推荐)。 - 使用自定义 gMSA:提供你已为此任务手动创建的托管服务帐户的名称。
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如
若要继续操作,请选择“下一步”。
在“连接 Active Directory”界面上,如果您的域名显示在“已配置域”下,请直接进入下一步骤。 否则,请输入你的 Active Directory 域名,然后选择“添加目录”。
使用你的 Active Directory 域管理员帐户登录。 域管理员帐户不应具有过期的密码。 如果密码在安装期间过期或发生更改,请使用新凭据重新配置代理。 此操作将添加您的本地目录。 选择“确定”,然后选择“下一步”以继续。
选择“下一步”以继续。
在“配置完成”屏幕上,选择“确认”。 此操作注册并重新启动代理。
操作完成后,会显示一条通知,指出代理配置已成功验证。 选择退出。 如果仍然显示初始屏幕,请单击“关闭”。
验证代理安装
代理验证是在 Azure 门户中以及在运行该代理的本地服务器上进行的。
在 Azure 门户中验证代理
若要验证 Microsoft Entra ID 是否注册代理,请执行以下步骤:
请以至少混合身份管理员的身份登录Microsoft Entra 管理中心。
选择 Entra Connect,然后选择 “云同步”。
在 “云同步 ”页上,单击“ 代理 ”以查看安装的代理。 验证代理是否显示,以及状态是否 处于活动状态。
验证本地服务器上的代理
若要验证代理是否正在运行,请执行以下步骤:
使用管理员帐户登录到服务器。
转到“服务”。 还可以使用 Start/Run/Services.msc 来访问它。
在 “服务”下,确保 存在 Azure AD Connect 代理更新程序 和 Azure AD Connect 预配代理 ,并且状态为 “正在运行”。
验证预配代理版本
若要验证正在运行的代理版本,请执行以下步骤:
- 转到 C:\Program Files\Azure AD Connect 预配代理。
- 右键单击“AADConnectProvisioningAgent.exe”并选择“属性”。
- 选择“详细信息”选项卡。版本号显示在产品版本旁边。
配置 Microsoft Entra 云同步
使用以下步骤配置预配:
请以至少混合身份管理员的身份登录Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
- 选择“新建配置”
- 在配置屏幕上输入“通知电子邮件”,将选择器切换到“启用”,然后选择“保存”。
- 现在,配置状态应为“正常”。
验证是否已创建用户并正在进行同步
现在验证本地目录中的用户是否已同步并在 Microsoft Entra 租户中存在。 此过程可能需要几小时才能完成。 要验证用户是否已同步,请执行以下操作:
- 请以至少混合身份管理员的身份登录Microsoft Entra 管理中心。
- 浏览到 Entra ID>用户。
- 验证租户中是否显示了新用户
使用我们的某位用户测试登录
使用在我们的新租户中创建的用户帐户登录。 需要使用以下格式登录:(user@domain.partner.onmschina.cn)。 使用用户用于在本地登录的相同密码。
现已成功设置了一个混合标识环境,可以使用它来测试和熟悉 Azure 提供的功能。