Az alapértelmezett konfiguráció ismertetése
Frissítve: 2015. július 22.
Fontos
Ez a témakör hamarosan archiválva lesz.
Létezik egy "Azure Active Directory Csatlakozás" nevű új termék, amely felváltja AADSync és a DirSyncet.
Az Azure AD Connect magában foglalja a korábban Dirsync és AAD Sync néven kiadott összetevőket és funkciókat.
A Dirsync és a AAD-szinkronizáló támogatása a jövőben valamikor megszűnik.
Ezeket az eszközöket már nem frissítjük külön-külön a funkciófejlesztésekkel, és minden jövőbeli fejlesztés szerepelni fog a Azure AD Csatlakozás frissítéseiben.
Ez a dokumentum a Azure Active Directory Sync alapértelmezett konfigurációját ismerteti. A cél az, hogy az olvasó megértse, hogyan működik a deklaratív kiépítés nevű konfigurációs modell a Azure Active Directory Syncben egy valós példában. Ez a dokumentum feltételezi, hogy már telepítette és konfigurálta Azure Active Directory szinkronizálást a telepítővarázslával.
Forgatókönyv leírása
Ebben a példában egy üzemelő példányt használunk egy fiókerdővel (A), egy erőforráserdővel (R) és egy AAD-címtárral.
Minden csatlakoztatott könyvtár rendelkezik egy gyorsítótárazott másolattal, az összekötőtérrel, amely a Azure Active Directory Sync releváns információiból áll. Középen a metaverzum, a szinkronizált objektumok összevont nézete látható.
.jpg "Metaverse")
Ez ugyanaz, mint Azure Active Directory szinkronizálási forgatókönyv áttekintésében ismertetett 2. forgatókönyv.
Szinkronizálási szabályszerkesztő
A konfigurációt a Start menüben tekintheti meg és módosíthatja a Szinkronizálási szabályok szerkesztője (SRE) eszközzel és egy parancsikonnal.
.jpg "Synchronization Rules Editor")
Az SRE egy erőforráskészlet-eszköz, de a Azure Active Directory Synctel van telepítve. Az indításhoz az ADSyncAdmins csoport tagjának kell lennie. Amikor elindul, a következőhöz hasonlót fog látni:
.jpg "Synchronization Rules Editor")
Ezen a panelen megjelenik a konfigurációhoz létrehozott összes szinkronizálási szabály. A tábla minden sora egy szinkronizálási szabály. A Szabálytípusok területen balra két különböző típus található: Bejövő és Kimenő. A bejövő és a kimenő a metaverzum nézetéből származik. Ebben az áttekintésben elsősorban a bejövő szabályokra fogunk összpontosítani. A szinkronizálási szabályok tényleges listája az AD-ben észlelt sémától függ. A fenti képen a fiókerdő (Azure Active Directory Sync.com) nem rendelkezik olyan szolgáltatásokkal, mint a Exchange és a Lync, és nem hoztak létre szinkronizálási szabályokat ezekhez a szolgáltatásokhoz. Az erőforráserdőben azonban megtalálhatja ezeknek a szolgáltatásoknak a szinkronizálási szabályait. A szabályok tartalma az észlelt verziótól függően eltérő lesz. Például egy 2013-Exchange üzemelő példányban több attribútumfolyamat lesz konfigurálva, mint Exchange 2010-ben és Exchange 2007-ben.
Szinkronizálási szabály
A szinkronizálási szabály olyan konfigurációs objektum, amelynek attribútumai akkor áramlanak, ha teljesül egy feltétel. Azt is ismerteti, hogy az összekötőtérben lévő objektumok hogyan kapcsolódnak a metaverzumban lévő objektumhoz, más néven illesztéshez vagy egyezéshez. A szinkronizálási szabályok elsőbbségi sorrendben jelzik, hogyan kapcsolódnak egymáshoz. Az alacsonyabb számértékkel rendelkező szinkronizálási szabály nagyobb elsőbbséget élvez, és attribútumfolyam-ütközés esetén a magasabb elsőbbség élvezi az ütközés feloldását.
Példaként a "In from AD – User AccountEnabled" szinkronizálási szabályt vizsgáljuk meg. Ezt a sort megjelöljük az SRE-ben, és kiválasztjuk az Edit.A szinkronizálási szabály négy konfigurációs szakaszt tartalmaz: Leírás, Hatókörszűrő, Illesztési szabályok és Átalakítások.
Description
Az első szakasz olyan alapvető információkat tartalmaz, mint a név és a leírás.
.jpg "Edit inbound synchronization rule")
Azt is megtudhatja, hogy melyik csatlakoztatott rendszerhez kapcsolódik ez a szabály, melyik objektumtípusra vonatkozik a csatlakoztatott rendszerben, valamint a metaverzum objektumtípusát. A metaverzum objektumtípusa mindig személy, függetlenül attól, hogy a forrásobjektum-típus felhasználó, iNetOrgPerson vagy kapcsolattartó-e. A metaverzum objektumtípusának soha nem szabad megváltoznia, ezért általános típusként jön létre. A hivatkozástípus beállítható Csatlakozás, StickyJoin vagy Provision értékre. Ez a beállítás a Csatlakozási szabályok szakaszsal együtt működik, erről később lesz szó.
Hatókörszűrő
A Hatókörszűrő szakasz a szinkronizálási szabály alkalmazásának konfigurálására szolgál. Mivel az általunk megtekintett szinkronizálási szabály neve azt jelzi, hogy csak engedélyezett felhasználókra kell alkalmazni, a hatókör úgy van konfigurálva, hogy az AD userAccountControl attribútuma ne rendelkezzen a 2. bittel. Amikor találunk egy felhasználót az AD-ben, akkor ezt a szabályt fogjuk alkalmazni, ha a userAccountControl értéke 512 (engedélyezett normál felhasználó), de nem lesz érvényes, ha a talált felhasználó userAccountControl értéke 514 (letiltott normál felhasználó).
.jpg "Edit inbound synchronization rule")
A hatókörszűrő csoportok és záradékok használatával rendelkezik, amelyek beágyazhatók. A csoporton belüli összes záradéknak teljesülnie kell ahhoz, hogy a szinkronizálási szabály érvényes legyen. Több csoport definiálásakor legalább egy csoportnak teljesülnie kell ahhoz, hogy a szabály érvényesüljön. Vagyis a logikai VAGY a csoportok között van kiértékelve, a logikai ÉS pedig egy csoporton belül. Erre példa az AAD -csoporthoz való kimenő szinkronizálási szabályban található, alább látható módon. Két szinkronizálási szűrőcsoport létezik: egy a biztonsági csoportokhoz (securityEnabled EQUAL True), a másik a terjesztési csoportokhoz (securityEnabled EQUAL False).
.jpg "Edit outbound synchronization rule")
Ez a szabály határozza meg, hogy mely csoportokat kell kiépíteni az AAD-ben. A terjesztési csoportokat engedélyezni kell az AAD-vel való szinkronizáláshoz, biztonsági csoportok esetén azonban erre nincs szükség. Mint látható, a rendszer számos további attribútumot is kiértékel.
Csatlakozási szabályok
A harmadik szakasz azt konfigurálja, hogy az összekötőtérben lévő objektumok hogyan kapcsolódnak a metaverzum objektumaihoz. A korábban megvizsgált szabály nem rendelkezik csatlakozási szabályokkal kapcsolatos konfigurációval, ezért ehelyett az AD – Felhasználói csatlakozás lehetőséget fogjuk megvizsgálni.
.jpg "Edit intbound synchronization rule")
Az illesztési szabályok tartalma a telepítési varázslóban kiválasztott megfelelő beállítástól függ. Bejövő szabály esetén a kiértékelés egy objektummal kezdődik a forrás-összekötő területén, és az illesztési szabályokban szereplő összes csoport kiértékelése sorrendben történik. Ha egy forrásobjektum úgy van kiértékelve, hogy pontosan egy objektumnak feleljen meg a metaverzumban az illesztés szabályainak egyikével, az objektumok össze lesznek illesztve. Ha az összes szabályt kiértékelték, és nincs egyezés, akkor a rendszer a leírási oldalon lévő hivatkozástípust használja. Ha ez a beállítás Kiépítés értékre van állítva, akkor egy új objektum jön létre a célban, a metaverzumban. Ha új objektumot szeretne kiépíteni a metaverzumhoz, más néven objektumot vetíteni a metaverzumra. Az illesztés szabályainak kiértékelése csak egyszer történik meg. Ha egy összekötőtér- és egy metaverzum-objektumot egyesít, azok mindaddig csatlakoztatva maradnak, amíg a szinkronizálási szabály hatóköre továbbra is teljesül. A szinkronizálási szabályok kiértékelésekor csak egy meghatározott csatlakozási szabályokkal rendelkező szinkronizálási szabálynak kell hatókörbe tartoznia. Ha egy objektumhoz több szinkronizálási szabály is tartozik, amelyekhez csatlakozási szabályok tartoznak, a rendszer hibát jelez. Ezért az ajánlott eljárás az, hogy csak egy, illesztéssel rendelkező szinkronizálási szabály legyen meghatározva, ha több szinkronizálási szabály van egy objektum hatókörében. A Azure Active Directory Sync beépített konfigurációjában ezek a szabályok a név alapján találhatók, és a név végén található Join (Csatlakozás) szóval vannak megkeresve. A meghatározott illesztésszabályok nélküli szinkronizálási szabály akkor alkalmazza az attribútumfolyamatokat, ha egy másik szinkronizálási szabály összekapcsolja az objektumokat, vagy új objektumot épít ki a célban.
Átalakítások
Az átalakítási szakasz meghatározza az összes olyan attribútumfolyamatot, amely az objektumok összekapcsolásakor és a hatókörszűrő teljesülésekor a célobjektumra vonatkozik. Az AD –User AccountEnabled szinkronizálási szabályra visszatérve a következő átalakításokat találjuk:
.jpg "Edit intbound synchronization rule")
Ahhoz, hogy ezt kontextusba helyezzük, egy Account-Resource erdő üzemelő példányában egy engedélyezett fiókot fogunk találni a fiókerdőben, és egy letiltott fiókot az erőforráserdőben Exchange és a Lync beállításaival. A jelenleg megtekintett szinkronizálási szabály tartalmazza a bejelentkezéshez szükséges attribútumokat, és azt szeretnénk, hogy ezek abból az erdőből áramlanak, ahol engedélyezett fiókot találtunk. Ezek az attribútumfolyamatok egyetlen szinkronizálási szabályban vannak összefogva. Az átalakításoknak különböző típusai lehetnek: állandó, közvetlen és kifejezés. Az állandó folyamat mindig egy adott értéket fog átfolyni, a fenti esetben mindig az AccountEnabled nevű metaverzumban állítjuk be az Igaz értéket. A közvetlen folyamat a forrásban lévő attribútum értékét a célattribútumba irányítja át. A harmadik folyamattípus a Kifejezés, amely fejlettebb konfigurációkat tesz lehetővé. A kifejezés nyelve VBA (Visual Basic for Applications), így a Microsoft Office vagy VBScript felhasználói felismerik a formátumot. Az attribútumok szögletes zárójelek között ([attributeName]. Az attribútumnevek és a függvénynevek megkülönböztetik a kis- és nagybetűket, de a Szinkronizálási szabályok szerkesztője kiértékeli a kifejezéseket, és figyelmeztetést ad, ha a kifejezés érvénytelen. Minden kifejezés egyetlen sorban van kifejezve beágyazott függvényekkel. A konfigurációs nyelv hatóerejének szemléltetéséhez itt látható a pwdLastSet folyamat, de további megjegyzéseket is beszúrt:
// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .Net datetime, change it to the time format used by AAD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)
Az átalakítás témaköre nagy, és az egyéni konfiguráció nagy részét biztosítja a Azure Active Directory Sync használatával. Ebben az áttekintő dokumentumban nem foglalkozunk az egyéni konfigurációval, de a dokumentum későbbi részében néhány további attribútumfolyamatot is megvizsgálunk.
Precedencia
Megvizsgáltunk néhány szinkronizálási szabályt, de a szabályok együtt működnek a konfigurációban. Bizonyos esetekben az attribútumértékek több szinkronizálási szabályból ugyanahhoz a célattribútumhoz kerülnek. Ebben az esetben az attribútum precedenciája határozza meg, hogy melyik attribútum nyer. Példaként tekintsük meg a sourceAnchor attribútumot. Ez az attribútum fontos attribútum ahhoz, hogy bejelentkezhessen Azure AD. Ehhez az attribútumhoz két különböző szinkronizálási szabályban találjuk meg az attribútumfolyamot, az AD-ben – User AccountEnabled és a Be az AD-ben – User Common. A szinkronizálási szabály elsőbbségi sorrendje miatt a sourceAnchor attribútumot a rendszer először egy engedélyezett fiókkal az erdőből teszi, ha több objektum csatlakozik a metaverzum-objektumhoz. Ha nincsenek engedélyezett fiókok, akkor az AD –User Common befogható szinkronizálási szabályát fogjuk használni. Ez biztosítja, hogy még a letiltott fiókok esetében is sourceAnchor értéket adunk meg. A szinkronizálási szabályok elsőbbségét a telepítési varázsló csoportokban állítja be. A szabályok egy csoportja ugyanazzal a névvel rendelkezik, de különböző csatlakoztatott könyvtárakhoz kapcsolódnak. A telepítési varázsló az AD-ből érkező szabályt a legmagasabb prioritással nyitja meg, és iterálja az összes csatlakoztatott AD-címtárat. Ezután előre meghatározott sorrendben folytatja a következő szabálycsoportokkal. Egy csoporton belül a szabályok abban a sorrendben lesznek hozzáadva, amelyben a varázslóban hozzáadta az összekötőket. Ha a varázsló egy másik összekötőt ad hozzá, a szinkronizálási szabályok átrendezve lesznek, és az új összekötő szabályai minden csoportban utolsóként lesznek beszúrva.
Végső összeállítás
Már eleget tudunk a szinkronizálási szabályokról ahhoz, hogy megértsük, hogyan működik a konfiguráció a különböző szinkronizálási szabályokkal. Ha megtekintünk egy felhasználót és a metaverzumhoz hozzájáruló attribútumokat, a szabályok a következő sorrendben lesznek alkalmazva:
Név |
Megjegyzés |
Beléptetés az AD-ből – Felhasználói csatlakozás |
Az összekötőtér-objektumok metaverzummal való összekapcsolása szabálya. |
In from AD – UserAccount Enabled |
A Azure AD és Office 365 való bejelentkezéshez szükséges attribútumok. Ezeket az attribútumokat az engedélyezett fiókból szeretnénk megkapni. |
In from AD – User Common from Exchange |
A globális címlistában található attribútumok. Feltételezzük, hogy az adatminőség abban az erdőben a legjobb, ahol a felhasználó postaládáját találtuk. |
In from AD – User Common |
A globális címlistában található attribútumok. Ha nem találtunk postaládát, bármely más csatlakoztatott objektum is hozzájárulhat az attribútum értékéhez. |
Be az AD-ből – Felhasználói Exchange |
Csak akkor létezik, ha Exchange észlelt. Az összes infrastruktúra-Exchange attribútumot át fogja áramlani. |
Bejelentkezés az AD-ből – Felhasználói Lync |
Csak akkor létezik, ha a Lync észlelve van. Az infrastruktúra Lync-attribútumait fogja átfolyni. |
Egyéb megjegyzés
Ezt a dokumentumot egy adott attribútumfolyamat megvizsgálásával fejezzük be.
cloudFiltered
Ez az attribútumfolyamat az AD –Join User (AD– Csatlakozás felhasználó) fájlban található. Bár a csatlakozáshoz nincs szükség rá, ezt a szabályt kell beiktatni, mivel magról van szó. Minden kimenő szinkronizálási szabály rendelkezik hatókörszűrővel a cloudFiltered attribútumon, és látni fogjuk, hogyan használhatja ezt további szűrésre egy másik dokumentumban. Ez a folyamat alapértelmezés szerint kiszűri azokat az objektumokat, amelyek nem jelennek meg a felhőben. A dupla függőleges sáv || az alábbi kifejezésben egy logikai VAGY.
// if-then-else
IIF(
// Don’t synchronize default AD objects, such as Administrator
IsPresent([isCriticalSystemObject]) ||
// Don’t synchronize objects with no sAMAccountName set
IsPresent([sAMAccountName]) = False ||
// Don’t synchronize these special Exchange mailboxes
[sAMAccountName] = "SUPPORT_388945a0" ||
Left([mailNickname], 14) = "SystemMailbox{" ||
(Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)) ||
(Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}") > 0)) ||
// Don’t synchronize Exchange system mailboxes
CBool(IIF(IsPresent([msExchRecipientTypeDetails]),
BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL)) ||
// Don’t synchronize the Azure Active Directory Sync/DirSync service accounts
Left([sAMAccountName], 4) = "AAD_" || Left([sAMAccountName], 5) = "MSOL_" ||
// Don’t synchronize replication conflict objects
CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0),
// Then, If any of these OR clauses is True, then flow “True”
True,
// Else, if not, then don’t flow anything
NULL
)