Topológiák a Microsoft Entra Connecthez
Ez a cikk különböző helyszíni és Microsoft Entra-topológiákat ismertet, amelyek a Microsoft Entra Connect Syncet használják kulcsintegrációs megoldásként. Ez a cikk a támogatott és a nem támogatott konfigurációkat is tartalmazza.
A cikkben szereplő képek jelmagyarázata:
Leírás | Szimbólum |
---|---|
Helyszíni Active Directory-erdő | |
Helyszíni Active Directory szűrt importálással | |
Microsoft Entra Connect Sync-kiszolgáló | |
Microsoft Entra Connect Sync-kiszolgáló "előkészítési mód" | |
GALSync a Microsoft Identity Managerrel (MIM) 2016 | |
Microsoft Entra Connect Sync-kiszolgáló, részletes | |
Microsoft Entra ID | |
Nem támogatott forgatókönyv |
Fontos
A Microsoft nem támogatja a Microsoft Entra Connect Sync módosítását vagy üzemeltetését a hivatalosan dokumentált konfigurációkon vagy műveleteken kívül. Ezen konfigurációk vagy műveletek bármelyike a Microsoft Entra Connect Sync inkonzisztens vagy nem támogatott állapotát eredményezheti. Ennek eredményeképpen a Microsoft nem tud technikai támogatást nyújtani az ilyen üzemelő példányokhoz.
Egyetlen erdő, egyetlen Microsoft Entra-bérlő
A leggyakoribb topológia egyetlen helyszíni erdő, egy vagy több tartománnyal és egyetlen Microsoft Entra-bérlővel. A Microsoft Entra-hitelesítéshez jelszókivonat-szinkronizálást használunk. A Microsoft Entra Connect expressz telepítése csak ezt a topológiát támogatja.
Egyetlen erdő, több szinkronizálási kiszolgáló egy Microsoft Entra-bérlőhöz
Ha több Microsoft Entra Connect Sync-kiszolgáló csatlakozik ugyanahhoz a Microsoft Entra-bérlőhöz, az átmeneti kiszolgáló kivételével nem támogatott. Ez akkor sem támogatott, ha ezek a kiszolgálók úgy vannak konfigurálva, hogy egy kölcsönösen kizáró objektumkészlettel szinkronizáljanak. Ezt a topológiát akkor is figyelembe vette, ha egyetlen kiszolgálóról nem tudja elérni az erdő összes tartományát, vagy ha több kiszolgáló között szeretné elosztani a terhelést. (Nem fordul elő hiba, ha új Azure AD-szinkronizáló-kiszolgáló van konfigurálva egy új Microsoft Entra-erdőhöz és egy új ellenőrzött gyermektartományhoz.)
Több erdő, egyetlen Microsoft Entra-bérlő
Számos szervezet több helyi Active Directory erdővel rendelkező környezettel rendelkezik. Több oka is van annak, hogy egynél több helyi Active Directory erdő van. Ilyenek például a fiókerőforrás-erdőkkel kapcsolatos tervek, valamint egy fúzió vagy felvásárlás eredménye.
Ha több erdővel rendelkezik, az összes erdőnek elérhetőnek kell lennie egyetlen Microsoft Entra Connect Sync-kiszolgálóval. A kiszolgálót tartományhoz kell csatlakoztatni. Ha az összes erdő eléréséhez szükséges, elhelyezheti a kiszolgálót egy szegélyhálózaton (más néven DMZ-ben, demilitarizált zónában és szűrt alhálózatban).
A Microsoft Entra Connect telepítővarázslója számos lehetőséget kínál a több erdőben képviselt felhasználók összevonására. A cél az, hogy a felhasználó csak egyszer jelenik meg a Microsoft Entra-azonosítóban. A telepítővarázsló egyéni telepítési útvonalában konfigurálhat néhány gyakori topológiát. A felhasználók egyedi azonosítására szolgáló lapon válassza ki a topológiát képviselő megfelelő beállítást. Az összevonás csak a felhasználók számára van konfigurálva. A duplikált csoportok nem konszolidálódnak az alapértelmezett konfigurációval.
A gyakori topológiákat a különálló topológiákról, a teljes hálóról és a fiók-erőforrás topológiáról szóló szakaszok ismertetik.
A Microsoft Entra Connect Sync alapértelmezett konfigurációja a következőket feltételezi:
- Minden felhasználó csak egy engedélyezett fiókkal rendelkezik, és a fiók erdője a felhasználó hitelesítésére szolgál. Ez a feltételezés a jelszókivonat-szinkronizálásra, az átmenő hitelesítésre és az összevonásra használható. A UserPrincipalName és a sourceAnchor/immutableID az erdőből származik.
- Minden felhasználónak csak egy postaládája van.
- A felhasználó postaládáját üzemeltető erdő a legjobb adatminőséggel rendelkezik az Exchange globális címlistájában (GAL) látható attribútumokhoz. Ha nincs postaláda a felhasználó számára, bármely erdő használható ezekhez az attribútumértékekhez.
- Ha van csatolt postaládája, egy másik erdőben is van egy fiók, amelyet bejelentkezéshez használnak.
Ha a környezet nem felel meg ezeknek a feltételezéseknek, a következő dolgok történnek:
- Ha több aktív fiókkal vagy több postaládával rendelkezik, a szinkronizálási motor kiválaszt egyet, és figyelmen kívül hagyja a másikat.
- A csatolt postaláda más aktív fiókkal nem exportálható a Microsoft Entra-azonosítóba. A felhasználói fiók egyetlen csoportban sem szerepel tagként. A DirSync csatolt postaládái mindig normál postaládaként jelenik meg. Ez a változás szándékosan más viselkedés, hogy jobban támogassa a többerdős forgatókönyveket.
További részleteket az alapértelmezett konfiguráció ismertetése című témakörben talál.
Több erdő, több szinkronizálási kiszolgáló egy Microsoft Entra-bérlőhöz
Ha egynél több Microsoft Entra Connect Sync-kiszolgáló csatlakozik egyetlen Microsoft Entra-bérlőhöz, az nem támogatott. Kivételt képez az átmeneti kiszolgáló használata.
Ez a topológia abban különbözik az alábbitól, hogy az egyetlen Microsoft Entra-bérlőhöz csatlakoztatott több szinkronizálási kiszolgáló nem támogatott. (Bár nem támogatott, ez továbbra is működik.)
Több erdő, egyetlen szinkronizálási kiszolgáló, a felhasználók csak egy könyvtárban jelennek meg
Ebben a környezetben minden helyszíni erdő külön entitásként lesz kezelve. Egyetlen felhasználó sem található más erdőben. Minden erdő saját Exchange-szervezettel rendelkezik, és nincs GALSync az erdők között. Ez a topológia lehet az egyesülés/felvásárlás utáni helyzet, vagy egy olyan szervezetben, ahol az egyes üzleti egységek egymástól függetlenül működnek. Ezek az erdők ugyanabban a szervezetben találhatók a Microsoft Entra ID-ban, és egységes GAL-val jelennek meg. Az előző képen minden erdő minden objektuma egyszer jelenik meg a metaversen, és összesíti a cél Microsoft Entra-bérlőben.
Több erdő: egyező felhasználók
Az összes ilyen forgatókönyvben gyakori, hogy a terjesztési és biztonsági csoportok felhasználók, névjegyek és idegenbiztonsági tagok (FSP-k) kombinációját tartalmazhatják. Az FSP-k a Active Directory tartományi szolgáltatások (AD DS) használatával képviselik a biztonsági csoport más erdőinek tagjait. Minden FSP a Microsoft Entra ID-ban található valós objektumra lesz feloldva.
Több erdő: teljes háló opcionális GALSynctel
A teljes hálós topológia lehetővé teszi, hogy a felhasználók és az erőforrások bármely erdőben legyenek elhelyezve. Általában kétirányú megbízhatósági kapcsolat van az erdők között.
Ha az Exchange több erdőben is jelen van, előfordulhat, hogy (opcionálisan) egy helyszíni GALSync-megoldás is létezik. Ekkor minden felhasználó névjegyként fog megjelenni az összes többi erdőben. A GALSync általában a Microsoft Identity Manageren keresztül implementálva van. A Microsoft Entra Connect nem használható a helyszíni GALSynchez.
Ebben az esetben az identitásobjektumok a levelezési attribútumon keresztül csatlakoznak. Az egyik erdőben postaládával rendelkező felhasználó a többi erdőben lévő partnerekkel csatlakozik.
Több erdő: fiókerőforrás-erdő
Egy fiókerőforrás-erdő topológiájában egy vagy több aktív felhasználói fiókkal rendelkező fiókerdővel rendelkezik. Egy vagy több , letiltott fiókkal rendelkező erőforráserdővel is rendelkezik.
Ebben a forgatókönyvben egy (vagy több) erőforráserdő megbízik az összes fiókerdőben. Az erőforráserdő általában kiterjesztett Active Directory-sémával rendelkezik az Exchange és a Lync használatával. Az összes Exchange- és Lync-szolgáltatás, valamint a többi megosztott szolgáltatás ebben az erdőben található. A felhasználók letiltott felhasználói fiókkal rendelkeznek ebben az erdőben, és a postaláda a fiókerdőhöz van csatolva.
A Microsoft 365 és a topológia szempontjai
Egyes Microsoft 365-számítási feladatok bizonyos korlátozásokkal rendelkeznek a támogatott topológiákra:
Számítási feladat | Korlátozások |
---|---|
Exchange Online | Az Exchange Online által támogatott hibrid topológiákkal kapcsolatos további információkért lásd a több Active Directory-erdővel rendelkező hibrid telepítéseket ismertető témakört. |
Skype Vállalati verzió | Ha több helyszíni erdőt használ, csak a fiókerőforrás erdőtopológiája támogatott. További információ: 2015. Skype Vállalati kiszolgáló környezetvédelmi követelményei. |
Ha Ön nagyobb szervezet, érdemes megfontolnia a Microsoft 365 PreferredDataLocation funkció használatát. Ez lehetővé teszi annak meghatározását, hogy a felhasználó erőforrásai mely adatközponti régióban találhatók.
Átmeneti kiszolgáló
A Microsoft Entra Connect támogatja a második kiszolgáló átmeneti módban történő telepítését. Az ebben a módban lévő kiszolgálók az összes csatlakoztatott könyvtárból beolvasják az adatokat, de nem írnak semmit a csatlakoztatott könyvtárakba. A normál szinkronizálási ciklust használja, ezért az identitásadatok frissített másolatával rendelkezik.
Ha az elsődleges kiszolgáló meghibásodik, feladatátvételt végezhet az átmeneti kiszolgálóra. Ezt a Microsoft Entra Connect varázslóban teheti meg. Ez a második kiszolgáló egy másik adatközpontban is elhelyezhető, mert az elsődleges kiszolgálóval nincs megosztva infrastruktúra. Manuálisan kell átmásolnia az elsődleges kiszolgálón végrehajtott konfigurációs módosításokat a második kiszolgálóra.
Az átmeneti kiszolgálóval tesztelheti az új egyéni konfigurációt, és az adatokra gyakorolt hatását. Megtekintheti a módosításokat, és módosíthatja a konfigurációt. Ha elégedett az új konfigurációval, az átmeneti kiszolgálót aktív kiszolgálóvá teheti, és a régi aktív kiszolgálót átmeneti üzemmódra állíthatja.
Ezzel a módszerrel is lecserélheti az aktív szinkronizálási kiszolgálót. Készítse elő az új kiszolgálót, és állítsa átmeneti módba. Győződjön meg arról, hogy jó állapotban van, tiltsa le az előkészítési módot (aktívvá téve), és állítsa le az aktuálisan aktív kiszolgálót.
Több átmeneti kiszolgáló is lehet, ha több biztonsági másolatot szeretne készíteni különböző adatközpontokban.
Több Microsoft Entra-bérlő
Azt javasoljuk, hogy egyetlen bérlő legyen a Microsoft Entra-azonosítóban egy szervezet számára. Mielőtt több Microsoft Entra-bérlőt szeretne használni, tekintse meg a Felügyeleti egységek kezelése a Microsoft Entra-azonosítóban című cikket. Azokat a gyakori forgatókönyveket ismerteti, ahol egyetlen bérlőt használhat.
AD-objektumok szinkronizálása több Microsoft Entra-bérlővel
Ez a topológia a következő használati eseteket valósítja meg:
- A Microsoft Entra Connect képes szinkronizálni a felhasználókat, csoportokat és névjegyeket egyetlen Active Directoryból több Microsoft Entra-bérlőre. Ezek a bérlők különböző Azure-környezetekben lehetnek, például a 21Vianet-környezet által üzemeltetett Microsoft Azure-ban vagy az Azure Government-környezetben, de ugyanabban az Azure-környezetben is lehetnek, például két olyan bérlőben, amelyek mindkettő az Azure Commercialben találhatók. A lehetőségekről további információt az Azure Government-alkalmazások identitásának tervezése című témakörben talál.
- Ugyanaz a forráshorgony használható egyetlen objektumhoz külön bérlőkben (de ugyanazon bérlő több objektumához nem). (Az ellenőrzött tartomány nem lehet ugyanaz két bérlőben. További részletekre van szükség annak engedélyezéséhez, hogy ugyanaz az objektum két UPN-et használjon.)
- Minden szinkronizálni kívánt Microsoft Entra-bérlőhöz telepítenie kell egy Microsoft Entra Connect-kiszolgálót – egy Microsoft Entra Connect-kiszolgáló nem szinkronizálható egynél több Microsoft Entra-bérlővel.
- A különböző bérlőkhöz különböző szinkronizálási hatókörök és különböző szinkronizálási szabályok támogatottak.
- Csak egy Microsoft Entra-bérlő szinkronizálása konfigurálható úgy, hogy ugyanarra az objektumra visszaírjon az Active Directoryba. Ebbe beletartoznak az eszköz- és csoportvisszaírók, valamint a hibrid Exchange-konfigurációk is – ezek a funkciók csak egy bérlőben konfigurálhatók. Itt az egyetlen kivétel a jelszóvisszaíró – lásd alább.
- A jelszókivonat-szinkronizálás az Active Directoryból több Microsoft Entra-bérlőre való konfigurálását is támogatja ugyanahhoz a felhasználói objektumhoz. Ha a jelszókivonat-szinkronizálás engedélyezve van egy bérlőnél, akkor a jelszóvisszaírás is engedélyezve lehet, és ez több bérlőn is elvégezhető: ha a jelszó egy bérlőn módosul, akkor a jelszóvisszaíró az Active Directoryban frissíti, a jelszókivonat-szinkronizálás pedig frissíti a jelszót a többi bérlőben.
- Több Microsoft Entra-bérlőben sem lehet ugyanazt az egyéni tartománynevet hozzáadni és ellenőrizni, még akkor sem, ha ezek a bérlők különböző Azure-környezetekben találhatók.
- Nem támogatott olyan hibrid szolgáltatások konfigurálása, amelyek erdőszintű konfigurációt használnak az AD-ben, például a közvetlen egyszeri bejelentkezés és a Microsoft Entra hibrid csatlakoztatása (nem célzott megközelítés), több bérlővel. Ez felülírná a másik bérlő konfigurációját, így az már nem használható. További információt a Microsoft Entra hibrid csatlakozás üzembe helyezésének megtervezése című témakörben talál.
- Az eszközobjektumokat több bérlővel is szinkronizálhatja, de az eszköz lehet hibrid Microsoft Entra, amely csak egy bérlőhöz csatlakozik.
- Minden Microsoft Entra Connect-példánynak tartományhoz csatlakoztatott gépen kell futnia.
Feljegyzés
A globális címlista-szinkronizálás (GalSync) nem történik meg automatikusan ebben a topológiában, és további egyéni MIM-implementációt igényel annak biztosításához, hogy minden bérlő teljes globális címlistával (GAL) rendelkezzen az Exchange Online-ban és Skype Vállalati verzió Online-ban.
GALSync visszaírással
GALSync helyszíni szinkronizálási kiszolgálóval
A Microsoft Identity Manager helyszíni használatával szinkronizálhatja a felhasználókat (a GALSync használatával) két Exchange-szervezet között. Az egyik szervezet felhasználói külföldi felhasználóként/partnerként jelennek meg a másik szervezetben. Ezek a helyi Active Directory példányok ezután szinkronizálhatók saját Microsoft Entra-bérlőikkel.
Jogosulatlan ügyfelek használata a Microsoft Entra Connect háttérrendszer eléréséhez
A Microsoft Entra Connect-kiszolgáló a Microsoft Entra Connect háttérrendszerén keresztül kommunikál a Microsoft Entra ID-val. A háttérrendszerrel csak a Microsoft Entra Connect kommunikálhat. A Microsoft Entra Connect háttérrendszerével nem lehet más szoftverrel vagy módszerrel kommunikálni.
Következő lépések
Ha meg szeretné tudni, hogyan telepítheti a Microsoft Entra Connectet ezekhez a forgatókönyvekhez, olvassa el a Microsoft Entra Connect egyéni telepítését ismertető témakört.
További információ a Microsoft Entra Connect Sync konfigurációjáról.
További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.