Egy meglévő erdő és egy új erdő integrálása egyetlen Microsoft Entra-bérlővel
Ez az oktatóanyag végigvezeti a felhőszinkronizálás hozzáadásán egy meglévő hibrid identitáskörnyezetben.
Az oktatóanyagban létrehozott környezetet tesztelésre vagy a hibrid identitás működésének megismerésére használhatja.
Ebben a forgatókönyvben van egy meglévő erdő szinkronizálva a Microsoft Entra Connect Sync használatával egy Microsoft Entra-bérlővel. És van egy új erdője, amelyet ugyanahhoz a Microsoft Entra-bérlőhöz szeretne szinkronizálni. Beállítja a felhőszinkronizálást az új erdőhöz.
Előfeltételek
A Microsoft Entra Felügyeleti központban
- Hozzon létre egy kizárólag felhőalapú hibrid identitáskezelő fiókot a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan adhat hozzá csak felhőalapú hibrid identitáskezelési rendszergazdai fiókot. A lépés végrehajtása kritikus fontosságú annak biztosításához, hogy ne zárják ki a bérlőből.
- Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók ezen tartománynevek egyikével jelentkezhetnek be.
A helyszíni környezetben
A Windows Server 2012 R2 vagy újabb rendszert futtató tartományhoz csatlakoztatott gazdagépkiszolgáló azonosítása legalább 4 GB RAM és .NET 4.7.1+ futtatókörnyezettel
Ha tűzfal van a kiszolgálók és a Microsoft Entra ID között, konfigurálja a következő elemeket:
Győződjön meg arról, hogy az ügynökök kimenő kéréseket intézhetnek a Microsoft Entra-azonosítóhoz az alábbi portokon keresztül:
Portszám Használat célja 80 Letölti a visszavont tanúsítványok listáját (CRLs) a TLS/SSL-tanúsítvány érvényesítése közben 443 Kezeli a szolgáltatással folytatott összes kimenő kommunikációt 8080 (nem kötelező) Az ügynökök 10 percenként jelentik az állapotukat a 8080-s porton keresztül, ha a 443-as port nem érhető el. Ez az állapot megjelenik a portálon. Ha a tűzfal a felhasználók helye szerint érvényesíti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatások adatforgalma számára.
Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, akkor adjon hozzá kapcsolatokat a *.msappproxy.net és a *.servicebus.windows.net. Ha nem, engedélyezze a hozzáférést az Azure adatközpont hetente frissített IP-tartományaihoz.
Az ügynököknek hozzáférésre van szükségük login.windows.net és login.microsoftonline.com a kezdeti regisztrációhoz. Nyissa meg a tűzfalat ezekre az URL-ekre vonatkozóan is.
A tanúsítványérvényesítéshez oldja fel a következő URL-címek letiltását: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 és www.microsoft.com:80. Mivel ezeket az URL-címeket más Microsoft-termékekkel végzett tanúsítványérvényesítéshez használják, előfordulhat, hogy már feloldotta ezeket az URL-címeket.
A Microsoft Entra kiépítési ügynök telepítése
Ha alapszintű AD- és Azure-környezeti oktatóanyagot használ, az DC1 lesz. Az ügynök telepítéséhez kövesse az alábbi lépéseket:
- Az Azure Portalon válassza a Microsoft Entra-azonosítót.
- A bal oldalon válassza a Microsoft Entra Connect lehetőséget.
- A bal oldalon válassza a Felhőszinkronizálás lehetőséget.
- A bal oldalon válassza az Ügynök lehetőséget.
- Válassza a Helyszíni ügynök letöltése, majd a Feltételek elfogadása > letöltés lehetőséget.
- A Microsoft Entra Connect kiépítési ügynökcsomag letöltése után futtassa a AADConnectProvisioningAgentSetup.exe telepítési fájlt a letöltési mappából.
Feljegyzés
Az USA kormányzati felhőszolgáltatásának telepítésekor:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
További információt az "Ügynök telepítése az EGYESÜLT Államok kormányzati felhőjében" című témakörben talál.
- A kezdőképernyőn válassza az Elfogadom a licencet és a feltételeket, majd válassza a Telepítés lehetőséget.
- A telepítési művelet befejeződése után elindul a konfigurációs varázsló. Válassza a Tovább gombot a konfiguráció elindításához.
- A Bővítmény kiválasztása képernyőn válassza a HR-alapú kiépítést (Workday és SuccessFactors) / Microsoft Entra Connect felhőszinkronizálást, és válassza a Tovább lehetőséget.
Feljegyzés
Ha a kiépítési ügynököt helyszíni alkalmazáskiépítéshez telepíti, válassza a helyszíni alkalmazáskiépítést (Microsoft Entra-azonosító az alkalmazáshoz).
- Jelentkezzen be legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező fiókkal. Ha engedélyezve van az Internet Explorer fokozott biztonsága, az blokkolja a bejelentkezést. Ha igen, zárja be a telepítést, tiltsa le az Internet Explorer fokozott biztonságát, és indítsa újra a Microsoft Entra Connect kiépítési ügynökcsomag telepítését.
- A Szolgáltatásfiók konfigurálása képernyőn válasszon ki egy csoportos felügyelt szolgáltatásfiókot (gMSA). Ez a fiók az ügynökszolgáltatás futtatására szolgál. Ha egy felügyelt szolgáltatásfiókot már konfigurált a tartományában egy másik ügynök, és egy második ügynököt telepít, válassza a GMSA létrehozása lehetőséget, mert a rendszer észleli a meglévő fiókot, és hozzáadja az új ügynökhöz szükséges engedélyeket a gMSA-fiók használatához. Amikor a rendszer kéri, válassza a következő lehetőségeket:
- Hozzon létre gMSA-t , amely lehetővé teszi az ügynök számára a provAgentgMSA$ felügyelt szolgáltatásfiók létrehozását. A csoport által felügyelt szolgáltatásfiók (például CONTOSO\provAgentgMSA$) ugyanabban az Active Directory-tartományban jön létre, amelyben a gazdakiszolgáló csatlakozott. A beállítás használatához adja meg az Active Directory tartományi rendszergazda hitelesítő adatait (ajánlott).
- Használjon egyéni gMSA-t , és adja meg annak a felügyelt szolgáltatásfióknak a nevét, amelyet manuálisan hozott létre ehhez a feladathoz.
A folytatáshoz kattintson a Tovább gombra.
Ha a tartománynév megjelenik a Konfigurált tartományok területen az Active Directory csatlakoztatása képernyőn, ugorjon a következő lépésre. Ellenkező esetben írja be az Active Directory-tartománynevet, és válassza a Címtár hozzáadása lehetőséget.
Jelentkezzen be az Active Directory tartományi rendszergazdai fiókjával. A tartományi rendszergazdai fióknak nem szabad lejárt jelszóval rendelkeznie. Ha a jelszó lejárt, vagy az ügynök telepítése során módosul, újra kell konfigurálnia az ügynököt az új hitelesítő adatokkal. Ez a művelet hozzáadja a helyszíni címtárat. Kattintson az OK gombra, majd a Tovább gombra a folytatáshoz.
- Az alábbi képernyőképen egy példa látható contoso.com konfigurált tartományra. A folytatáshoz válassza a Tovább gombra.
A Konfiguráció kész képernyőn válassza a Megerősítés lehetőséget. Ez a művelet regisztrálja és újraindítja az ügynököt.
A művelet befejeződése után értesítést kell kapnia arról, hogy az ügynök konfigurációjának ellenőrzése sikeresen megtörtént. Válassza a Kilépés lehetőséget.
- Ha továbbra is megjelenik a kezdeti kezdőképernyő, válassza a Bezárás lehetőséget.
Ügynök telepítésének ellenőrzése
Az ügynök ellenőrzése az Azure Portalon és az ügynököt futtató helyi kiszolgálón történik.
Azure Portal-ügynök ellenőrzése
Annak ellenőrzéséhez, hogy az ügynök regisztrálva van-e a Microsoft Entra ID-ben, kövesse az alábbi lépéseket:
- Jelentkezzen be az Azure Portalra.
- Válassza ki a Microsoft Entra ID.
- Válassza a Microsoft Entra Connect, majd a Felhőszinkronizálás lehetőséget.
- A felhőszinkronizálási oldalon láthatja a telepített ügynököket. Ellenőrizze, hogy az ügynök megjelenik-e, és hogy az állapota kifogástalan-e.
A helyi kiszolgálón
Az ügynök futásának ellenőrzéséhez kövesse az alábbi lépéseket:
- Jelentkezzen be a kiszolgálóra rendszergazdai fiókkal.
- Nyissa meg a szolgáltatásokat a navigálással vagy a Start/Run/Services.msc gombra kattintva.
- A Szolgáltatások területen győződjön meg arról, hogy a Microsoft Entra Connect Agent Updater és a Microsoft Entra Connect kiépítési ügynök jelen van, és az állapot fut.
A kiépítési ügynök verziójának ellenőrzése
A futó ügynök verziójának ellenőrzéséhez kövesse az alábbi lépéseket:
- Lépjen a "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent" mappára
- Kattintson a jobb gombbal a "AADConnectProvisioningAgent.exe" elemre, és válassza ki a tulajdonságokat.
- Kattintson a Részletek fülre, és a termékverzió mellett megjelenik a verziószám.
A Microsoft Entra Cloud Sync konfigurálása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
A kiépítés konfigurálásához kövesse az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid rendszergazdaként.
- Tallózással keresse meg az Identity>Hybrid Management>Microsoft Entra Connect>Cloud szinkronizálását.
- Új konfiguráció kiválasztása
- A konfigurációs képernyőn írjon be egy értesítési e-mailt, helyezze át a választót az engedélyezéshez, majd válassza a Mentés lehetőséget.
- A konfigurációs állapotnak most kifogástalannak kell lennie.
A felhasználók létrehozásának és szinkronizálásának ellenőrzése
Most ellenőrizni fogja, hogy a helyszíni címtárban lévő felhasználók szinkronizálva lettek-e, és már léteznek-e a Microsoft Entra-bérlőnkben. Ez a folyamat néhány órát is igénybe vehet. A felhasználók szinkronizálásának ellenőrzéséhez tegye a következőket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
- Tallózással keresse meg az Identitásfelhasználók elemet>.
- Ellenőrizze, hogy megjelenik-e az új felhasználók a bérlőnkben
Bejelentkezés tesztelése az egyik felhasználóval
Nyissa meg a következő címet a böngészőben: https://myapps.microsoft.com
Jelentkezzen be az új bérlőben létrehozott felhasználói fiókkal. A következő formátumban kell bejelentkeznie: (user@domain.onmicrosoft.com). Használja ugyanazt a jelszót, amelyet a felhasználó a helyszíni bejelentkezéshez használ.
Most sikeresen beállított egy hibrid identitáskörnyezetet, amellyel tesztelheti és megismerheti az Azure által kínált lehetőségeket.