Topologieën voor Azure AD Connect

  • Artikel
  • 10 minuten om te lezen

In dit artikel worden verschillende on-premises en Azure Active Directory-topologieën (Azure AD) beschreven die gebruikmaken van Azure AD Connect-synchronisatie als de belangrijkste integratieoplossing. Dit artikel bevat zowel ondersteunde als niet-ondersteunde configuraties.

Dit is de legenda voor afbeeldingen in het artikel:

Description Symbool
On-premises Active Directory-forest On-premises Active Directory-forest
On-premises Active Directory met gefilterde import Active Directory met gefilterde import
Azure AD Synchronisatieserver verbinden Azure AD Synchronisatieserver verbinden
Azure AD De faseringsmodus van de synchronisatieserver verbinden Azure AD De faseringsmodus van de synchronisatieserver verbinden
GALSync met Forefront Identity Manager (FIM) 2010 of Microsoft Identity Manager (MIM) 2016 GALSync met FIM 2010 of MIM 2016
Azure AD Synchronisatieserver verbinden, gedetailleerd Azure AD Synchronisatieserver verbinden, gedetailleerd
Azure AD Azure Active Directory
Niet-ondersteund scenario Niet-ondersteund scenario

Belangrijk

Microsoft biedt geen ondersteuning voor het wijzigen of gebruiken van Azure AD Connect-synchronisatie buiten de configuraties of acties die formeel zijn gedocumenteerd. Elk van deze configuraties of acties kan leiden tot een inconsistente of niet-ondersteunde status van Azure AD Connect-synchronisatie. Als gevolg hiervan kan Microsoft geen technische ondersteuning bieden voor dergelijke implementaties.

Eén forest, één Azure AD-tenant

Topologie voor één forest en één tenant

De meest voorkomende topologie is één on-premises forest, met een of meer domeinen en één Azure AD tenant. Voor Azure AD verificatie wordt wachtwoord-hashsynchronisatie gebruikt. De snelle installatie van Azure AD Connect ondersteunt alleen deze topologie.

Eén forest, meerdere synchronisatieservers met één Azure AD tenant

Niet-ondersteunde, gefilterde topologie voor één forest

Het hebben van meerdere Azure AD Verbinding maken met synchronisatieservers die zijn verbonden met dezelfde Azure AD tenant, wordt niet ondersteund, met uitzondering van een faseringsserver. Het wordt niet ondersteund, zelfs niet als deze servers zijn geconfigureerd om te synchroniseren met een wederzijds uitsluitende set objecten. Mogelijk hebt u deze topologie overwogen als u niet alle domeinen in het forest vanaf één server kunt bereiken of als u de belasting over meerdere servers wilt verdelen. (Er treden geen fouten op wanneer een nieuwe Azure AD Sync Server is geconfigureerd voor een nieuw Azure AD forest en een nieuw geverifieerd onderliggend domein.)

Meerdere forests, één Azure AD tenant

Topologie voor meerdere forests en één tenant

Veel organisaties hebben omgevingen met meerdere on-premises Active Directory forests. Er zijn verschillende redenen voor het hebben van meer dan één on-premises Active Directory bos. Typische voorbeelden zijn ontwerpen met account-resourceforests en het resultaat van een fusie of overname.

Wanneer u meerdere forests hebt, moeten alle forests bereikbaar zijn via één Azure AD Connect-synchronisatieserver. De server moet lid zijn van een domein. Indien nodig om alle forests te bereiken, kunt u de server in een perimeternetwerk plaatsen (ook wel DMZ, gedemilitariseerde zone en gescreend subnet genoemd).

De installatiewizard Azure AD Verbinding maken biedt verschillende opties voor het samenvoegen van gebruikers die in meerdere forests zijn vertegenwoordigd. Het doel is dat een gebruiker slechts één keer wordt weergegeven in Azure AD. Er zijn enkele algemene topologieën die u kunt configureren in het aangepaste installatiepad in de installatiewizard. Selecteer op de pagina Unieke identificatie van uw gebruikers de bijbehorende optie die uw topologie vertegenwoordigt. De consolidatie is alleen geconfigureerd voor gebruikers. Dubbele groepen worden niet samengevoegd met de standaardconfiguratie.

Algemene topologieën worden besproken in de secties over afzonderlijke topologieën, volledige mesh en de account-resourcetopologie.

Bij de standaardconfiguratie in Azure AD Verbindingssynchronisatie wordt uitgegaan van het volgende:

  • Elke gebruiker heeft slechts één ingeschakeld account en het forest waarin dit account zich bevindt, wordt gebruikt om de gebruiker te verifiëren. Deze veronderstelling is bedoeld voor wachtwoord-hashsynchronisatie, passthrough-verificatie en federatie. UserPrincipalName en sourceAnchor/immutableID zijn afkomstig uit dit forest.
  • Elke gebruiker heeft slechts één postvak.
  • Het forest dat als host fungeert voor het postvak van een gebruiker heeft de beste gegevenskwaliteit voor kenmerken die zichtbaar zijn in de Algemene Adreslijst (GAL) van Exchange. Als er geen postvak voor de gebruiker is, kan elk forest worden gebruikt om deze kenmerkwaarden bij te dragen.
  • Als u een gekoppeld postvak hebt, is er ook een account in een ander forest dat wordt gebruikt voor aanmelding.

Als uw omgeving niet overeenkomt met deze veronderstellingen, gebeurt het volgende:

  • Als u meer dan één actief account of meer dan één postvak hebt, kiest de synchronisatie-engine een account en negeert het andere.
  • Een gekoppeld postvak zonder ander actief account wordt niet geëxporteerd naar Azure AD. Het gebruikersaccount wordt in geen enkele groep weergegeven als lid. Een gekoppeld postvak in DirSync wordt altijd weergegeven als een normaal postvak. Deze wijziging is opzettelijk een ander gedrag om scenario's met meerdere forests beter te ondersteunen.

Meer informatie vindt u in Inzicht in de standaardconfiguratie.

Meerdere forests, meerdere synchronisatieservers met één Azure AD tenant

Niet-ondersteunde topologie voor meerdere forests en meerdere synchronisatieservers

Het hebben van meer dan één Azure AD Connect-synchronisatieserver verbonden met één Azure AD tenant wordt niet ondersteund. De uitzondering is het gebruik van een faseringsserver.

Deze topologie verschilt van de onderstaande omdat meerdere synchronisatieservers die zijn verbonden met één Azure AD tenant, niet worden ondersteund. (Hoewel dit niet wordt ondersteund, werkt dit nog steeds.)

Meerdere forests, één synchronisatieserver, gebruikers worden weergegeven in slechts één map

Optie voor het slechts één keer vertegenwoordigen van gebruikers in alle mappen

Afbeelding van meerdere forests en afzonderlijke topologieën

In deze omgeving worden alle on-premises forests behandeld als afzonderlijke entiteiten. Er is geen gebruiker aanwezig in een ander forest. Elk forest heeft een eigen Exchange-organisatie en er is geen GALSync tussen de forests. Deze topologie kan de situatie zijn na een fusie/overname of in een organisatie waar elke bedrijfseenheid onafhankelijk opereert. Deze forests bevinden zich in dezelfde organisatie in Azure AD en worden weergegeven met een geïntegreerde GAL. In de voorgaande afbeelding wordt elk object in elk forest eenmaal weergegeven in de metaverse en samengevoegd in de doel-Azure AD-tenant.

Meerdere forests: overeenkomen met gebruikers

In al deze scenario's kunnen distributie- en beveiligingsgroepen een combinatie van gebruikers, contactpersonen en Foreign Security Principals (FSP's) bevatten. FSP's worden gebruikt in Active Directory Domain Services (AD DS) om leden van andere forests in een beveiligingsgroep te vertegenwoordigen. Alle FSP's worden omgezet in het echte object in Azure AD.

Meerdere forests: volledige mesh met optionele GALSync

Optie voor het gebruik van het e-mailkenmerk voor overeenkomsten wanneer gebruikersidentiteiten bestaan in meerdere mappen

Volledige mesh-topologie voor meerdere forests

Met een volledige mesh-topologie kunnen gebruikers en resources zich in elk forest bevinden. Meestal zijn er tweerichtingsvertrouwensrelaties tussen de forests.

Als Exchange aanwezig is in meer dan één forest, is er mogelijk (optioneel) een on-premises GALSync-oplossing. Elke gebruiker wordt vervolgens weergegeven als een contactpersoon in alle andere forests. GALSync wordt doorgaans geïmplementeerd via FIM 2010 of MIM 2016. Azure AD Connect kan niet worden gebruikt voor on-premises GALSync.

In dit scenario worden identiteitsobjecten gekoppeld via het e-mailkenmerk. Een gebruiker met een postvak in het ene forest wordt gekoppeld aan de contactpersonen in de andere forests.

Meerdere forests: account-resourceforest

Optie voor het gebruik van de kenmerken ObjectSID en msExchMasterAccountSID voor het vergelijken van identiteiten in meerdere mappen

Accountresourceforesttopologie voor meerdere forests

In een foresttopologie van een accountresource hebt u een of meer accountforests met actieve gebruikersaccounts. U hebt ook een of meer resourceforests met uitgeschakelde accounts.

In dit scenario vertrouwt een (of meer) resourceforests alle accountforests. Het resourceforest heeft doorgaans een uitgebreid Active Directory-schema met Exchange en Lync. Alle Exchange- en Lync-services bevinden zich, samen met andere gedeelde services, in dit forest. Gebruikers hebben een uitgeschakeld gebruikersaccount in dit forest en het postvak is gekoppeld aan het accountforest.

Overwegingen voor Microsoft 365 en topologie

Sommige Microsoft 365-workloads hebben bepaalde beperkingen voor ondersteunde topologieën:

Workload Beperkingen
Exchange Online Zie Hybride implementaties met meerdere Active Directory-forests voor meer informatie over hybride topologieën die worden ondersteund door Exchange Online.
Skype voor Bedrijven Wanneer u meerdere on-premises forests gebruikt, wordt alleen de topologie van het account-resourceforest ondersteund. Zie Milieuvereisten voor Skype voor Bedrijven Server 2015 voor meer informatie.

Als u een grotere organisatie bent, moet u overwegen om de functie Microsoft 365 PreferredDataLocation te gebruiken. Hiermee kunt u definiëren in welke datacenterregio de resources van de gebruiker zich bevinden.

Faseringsserver

Faseringsserver in een topologie

Azure AD Connect ondersteunt het installeren van een tweede server in de faseringsmodus. Een server in deze modus leest gegevens uit alle verbonden mappen, maar schrijft niets naar verbonden mappen. Het maakt gebruik van de normale synchronisatiecyclus en heeft daarom een bijgewerkte kopie van de identiteitsgegevens.

In een noodgeval waarbij de primaire server uitvalt, kunt u een failover uitvoeren naar de faseringsserver. U doet dit in de wizard Azure AD Verbinding maken. Deze tweede server kan zich in een ander datacenter bevinden omdat er geen infrastructuur wordt gedeeld met de primaire server. U moet elke configuratiewijziging die op de primaire server is aangebracht, handmatig kopiëren naar de tweede server.

U kunt een faseringsserver gebruiken om een nieuwe aangepaste configuratie en het effect ervan op uw gegevens te testen. U kunt een voorbeeld van de wijzigingen bekijken en de configuratie aanpassen. Wanneer u tevreden bent met de nieuwe configuratie, kunt u van de faseringsserver de actieve server maken en de oude actieve server instellen op de faseringsmodus.

U kunt deze methode ook gebruiken om de actieve synchronisatieserver te vervangen. Bereid de nieuwe server voor en stel deze in op de faseringsmodus. Zorg ervoor dat deze in een goede staat is, schakel de faseringsmodus uit (waardoor deze actief is) en sluit de momenteel actieve server af.

Het is mogelijk om meer dan één faseringsserver te hebben wanneer u meerdere back-ups in verschillende datacenters wilt hebben.

Meerdere Azure AD tenants

U wordt aangeraden één tenant in Azure AD voor een organisatie te hebben. Voordat u van plan bent om meerdere Azure AD tenants te gebruiken, raadpleegt u het artikel Beheereenheden beheren in Azure AD. Het behandelt veelvoorkomende scenario's waarin u één tenant kunt gebruiken.

AD-objecten synchroniseren met meerdere Azure AD-tenants

Diagram met een topologie van meerdere Azure AD-tenants.

Met deze topologie worden de volgende use cases geïmplementeerd:

  • AADConnect kan de gebruikers, groepen en contactpersonen van één Active Directory synchroniseren met meerdere Azure AD tenants. Deze tenants kunnen zich in verschillende Azure-omgevingen bevinden, zoals de Azure China-omgeving of de Azure Government omgeving, maar ze kunnen zich ook in dezelfde Azure-omgeving bevinden, zoals twee tenants die zich beide in Azure Commercial bevinden. Zie [Identiteit plannen voor Azure Government-toepassingen] (/azure/azure-government/documentation-government-plan-identity) voor meer informatie over opties.
  • Hetzelfde bronanker kan worden gebruikt voor één object in afzonderlijke tenants (maar niet voor meerdere objecten in dezelfde tenant). (Het geverifieerde domein kan niet hetzelfde zijn in twee tenants. Er zijn meer details nodig om ervoor te zorgen dat hetzelfde object twee UPN's heeft.)
  • U moet een AADConnect-server implementeren voor elke Azure AD tenant die u wilt synchroniseren: één AADConnect-server kan niet synchroniseren met meer dan één Azure AD tenant.
  • Het wordt ondersteund om verschillende synchronisatiebereiken en verschillende synchronisatieregels voor verschillende tenants te hebben.
  • Er kan slechts één Azure AD tenantsynchronisatie worden geconfigureerd om terug te schrijven naar Active Directory voor hetzelfde object. Dit omvat het terugschrijven van apparaten en groepen en hybride Exchange-configuraties. Deze functies kunnen slechts in één tenant worden geconfigureerd. De enige uitzondering hier is Wachtwoord terugschrijven. Zie hieronder.
  • Het wordt ondersteund voor het configureren van wachtwoord-hashsynchronisatie vanuit Active Directory naar meerdere Azure AD tenants voor hetzelfde gebruikersobject. Als Wachtwoord-hashsynchronisatie is ingeschakeld voor een tenant, kan wachtwoord terugschrijven ook worden ingeschakeld. Dit kan worden gedaan voor meerdere tenants: als het wachtwoord op de ene tenant wordt gewijzigd, wordt het terugschrijven van wachtwoorden bijgewerkt in Active Directory en wordt het wachtwoord in de andere tenants bijgewerkt met Wachtwoord-hashsynchronisatie.
  • Het wordt niet ondersteund om dezelfde aangepaste domeinnaam toe te voegen en te verifiëren in meer dan één Azure AD tenant, zelfs als deze tenants zich in verschillende Azure-omgevingen bevinden.
  • Het wordt niet ondersteund voor het configureren van hybride ervaringen die gebruikmaken van configuratie op forestniveau in AD, zoals naadloze eenmalige aanmelding en Hybride Azure AD Join (niet-gerichte benadering), met meer dan één tenant. Als u dit doet, wordt de configuratie van de andere tenant overschreven, waardoor deze niet meer kan worden gebruikt. Meer informatie vindt u in De implementatie van uw hybride Azure Active Directory-koppeling plannen.
  • U kunt apparaatobjecten synchroniseren met meer dan één tenant, maar een apparaat kan hybride Azure AD gekoppeld aan slechts één tenant.
  • Elk Azure AD Connect-exemplaar moet worden uitgevoerd op een computer die lid is van een domein.

Notitie

Globale adreslijstsynchronisatie (GalSync) wordt niet automatisch uitgevoerd in deze topologie en vereist een extra aangepaste MIM-implementatie om ervoor te zorgen dat elke tenant een volledige algemene adreslijst (GAL) heeft in Exchange Online en Skype voor Bedrijven Online.

GALSync met behulp van write-back

Niet-ondersteunde topologie voor meerdere forests en meerdere mappen, waarbij GALSync zich richt op Azure ADUnsupported topologie voor meerdere forests en meerdere mappen, met GALSync gericht op on-premises Active Directory

GALSync met on-premises synchronisatieserver

GALSync in een topologie voor meerdere forests en meerdere mappen

U kunt FIM 2010 of MIM 2016 on-premises gebruiken om gebruikers (via GALSync) te synchroniseren tussen twee Exchange-organisaties. De gebruikers in de ene organisatie worden weergegeven als buitenlandse gebruikers/contactpersonen in de andere organisatie. Deze verschillende on-premises Active Directory-exemplaren kunnen vervolgens worden gesynchroniseerd met hun eigen Azure AD-tenants.

Onbevoegde clients gebruiken voor toegang tot de back-end van Azure AD Connect

Onbevoegde clients gebruiken voor toegang tot de back-end van Azure AD Connect

De Azure Active Directory Connect-server communiceert met Azure Active Directory via de Back-end van Azure Active Directory Connect. De enige software die kan worden gebruikt om met deze back-end te communiceren, is Azure Active Directory Connect. Communicatie met de Back-end van Azure Active Directory Connect met behulp van andere software of methoden wordt niet ondersteund.

Volgende stappen

Zie Aangepaste installatie van Azure AD Connect voor meer informatie over het installeren van Azure AD Connect voor deze scenario's.

Meer informatie over configuratie van de Azure AD Connect-synchronisatie.

Meer informatie over het integreren van uw on-premises identiteiten met Azure Active Directory .