Топологии для Microsoft Entra Подключение

  • Статья

В этой статье описываются различные локальные топологии и топологии Microsoft Entra, использующие Microsoft Entra Подключение Sync в качестве решения интеграции с ключами. Здесь описываются и поддерживаемые, и неподдерживаемые конфигурации.

Ниже приведены условные обозначения для изображений в статье.

Description Символ
Локальный лес Active Directory Локальный лес Active Directory
Локальная служба Active Directory с фильтрацией импорта Active Directory с фильтрацией импорта
Сервер синхронизации microsoft Entra Подключение Сервер синхронизации microsoft Entra Подключение
Сервер синхронизации Microsoft Entra Подключение "промежуточный режим" Сервер синхронизации Microsoft Entra Подключение
GALSync с Microsoft Identity Manager (MIM) 2016 GALSync с MIM 2016
Сервер синхронизации Microsoft Entra Подключение подробно Сервер синхронизации Microsoft Entra Подключение подробно
Microsoft Entra ID Microsoft Entra ID
Неподдерживаемый сценарий Неподдерживаемый сценарий

Внимание

Корпорация Майкрософт не поддерживает изменение или эксплуатацию Microsoft Entra Подключение Sync за пределами конфигураций или действий, которые официально документированы. Любая из этих конфигураций или действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Подключение. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.

Один лес, один клиент Microsoft Entra

Топология для одного леса и одного клиента

Наиболее распространенной топологией является один локальный лес с одним или несколькими доменами и одним клиентом Microsoft Entra. Для проверки подлинности Microsoft Entra используется синхронизация хэша паролей. Экспресс-установка Microsoft Entra Подключение поддерживает только эту топологию.

Один лес, несколько серверов синхронизации с одним клиентом Microsoft Entra

Неподдерживаемая отфильтрованная топология для одного леса

Наличие нескольких серверов синхронизации Microsoft Entra Подключение, подключенных к одному клиенту Microsoft Entra, не поддерживается, за исключением промежуточного сервера. Такая схема не поддерживается, даже если эти серверы настроены для синхронизации с взаимоисключающим набором объектов. Возможно, вы рассматривали такую топологию, если у вас нет доступа ко всем доменам леса с одного сервера или если требуется распределить нагрузку на несколько серверов. (При настройке нового сервера синхронизации Azure AD для нового леса Microsoft Entra и нового проверенного дочернего домена не возникают ошибки.)

Несколько лесов, один клиент Microsoft Entra

Топология для нескольких лесов и одного клиента

Во многих организациях есть среды, которые включают несколько локальных лесов Active Directory. Есть разные причины существования нескольких локальных лесов Active Directory. Типичными примерами являются проекты с лесами ресурсов учетных записей и лесами, появившимися в результате слияния или поглощения.

При наличии нескольких лесов все леса должны быть доступны одним сервером Синхронизации Microsoft Entra Подключение. Компьютер должен быть присоединен к домену. Если необходимо получить доступ ко всем лесам, можно разместить сервер в сети периметра (также называется DMZ и промежуточной подсетью).

Мастер установки Microsoft Entra Подключение предлагает несколько вариантов для консолидации пользователей, представленных в нескольких лесах. Цель заключается в том, что пользователь представлен только один раз в идентификаторе Microsoft Entra. Есть несколько распространенных топологий, которые можно настроить в режиме выборочной установки в мастере установки. На странице Уникальная идентификация пользователей выберите вариант, соответствующий вашей топологии. Функция консолидации настроена только для пользователей. В конфигурации по умолчанию дубликаты групп не консолидируются.

В следующем разделе описываются такие стандартные топологии, как отдельные топологии, полная сетка и топология ресурсов учетной записи.

Конфигурация по умолчанию в Microsoft Entra Подключение Sync предполагает:

  • У каждого пользователя есть только одна включенная учетная запись. Лес, в котором располагается эта учетная запись, используется для проверки подлинности пользователя. Это предполагается при использовании синхронизации хэша паролей, сквозной аутентификации и федерации. Параметры UserPrincipalName и sourceAnchor/immutableID поступают из этого леса.
  • У каждого пользователя есть только один почтовый ящик.
  • Лес, в котором размещаются почтовые ящики пользователей, характеризуется наилучшим качеством данных для атрибутов, отображаемых в глобальном списке адресов Exchange (GAL). Если у пользователя нет почтового ящика, для передачи значений этих атрибутов может использоваться любой лес.
  • Если у пользователя есть связанный почтовый ящик, то есть и другая учетная запись в другом лесу, которая используется для входа.

Если среда не соответствует этим предположениям, произойдет следующее:

  • Если у вас несколько активных учетных записей или несколько почтовых ящиков, модуль синхронизации выберет одну учетную запись или один почтовый ящик и проигнорирует остальные.
  • Связанный почтовый ящик без другой активной учетной записи не экспортируется в идентификатор Microsoft Entra. Учетная запись пользователя не будет представлена как член какой-либо группы. В DirSync связанный почтовый ящик всегда будет представлен как обычный почтовый ящик. Такое отличие в поведении является намеренным и служит для поддержки различных сценариев леса.

Дополнительные сведения см. в статье Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию.

Несколько лесов, несколько серверов синхронизации с одним клиентом Microsoft Entra

Неподдерживаемая топология для нескольких лесов и нескольких серверов синхронизации

Наличие нескольких серверов синхронизации Microsoft Entra Подключение, подключенных к одному клиенту Microsoft Entra, не поддерживается. В порядке исключения можно использовать промежуточный сервер.

Эта топология отличается от приведенной ниже в том, что несколько серверов синхронизации, подключенных к одному клиенту Microsoft Entra, не поддерживаются. (Хотя это и не поддерживается, это по-прежнему работает.)

Несколько лесов, один сервер синхронизации, пользователи представлены только в одном каталоге

Параметр для представления пользователей во всех каталогах только один раз

Изображение нескольких лесов и отдельных топологий

В этой среде все локальные леса рассматриваются как отдельные сущности. В любых других лесах пользователи отсутствуют. У каждого леса есть своя организация Exchange. Синхронизация GALSync между лесами отсутствует. Такая топология может возникать в результате слияний и поглощений, а также в организации, в которой все подразделения функционируют независимо. Эти леса находятся в той же организации в идентификаторе Microsoft Entra и отображаются с унифицированным gal. На предыдущем рисунке каждый объект в каждом лесу представлен один раз в метавселенной и агрегирован в целевом клиенте Microsoft Entra.

Несколько лесов: сопоставление пользователей

Для всех сценариев этого рода характерно то, что группы рассылки и группы безопасности могут состоять из пользователей, контактов и внешних субъектов безопасности. Внешние участники безопасности используются в доменных службах Active Directory (AD DS) для представления элементов из других лесов в группе безопасности. Все FSPS разрешаются в реальный объект в идентификаторе Microsoft Entra.

Несколько лесов: полная сетка с дополнительным решением GALSync

Параметр для использования атрибута почты для сопоставления в случае, когда удостоверения пользователей присутствуют в нескольких каталогах

Топология полной сетки для нескольких лесов

Топология полной сетки позволяет пользователям и ресурсам размещаться в любом лесу. Как правило, между лесами образуются двусторонние отношения доверия.

Если Exchange присутствует в нескольких лесах, может быть доступным дополнительное локальное решение GALSync. Каждый пользователь будет представлен во всех остальных лесах как контакт. GALSync обычно реализуется с помощью Microsoft Identity Manager. Microsoft Entra Подключение нельзя использовать для локальной функции GALSync.

В этом сценарии объекты удостоверений соединяются с помощью атрибута почты. Пользователь с почтовым ящиком в одном лесу объединяется с контактами в других лесах.

Несколько лесов: лес ресурсов учетной записи

Параметр для использования атрибутов ObjectSID и msExchMasterAccountSID для сопоставления, когда удостоверения присутствуют в нескольких каталогах

Топология леса ресурсов учетной записи для нескольких лесов

В топологии леса ресурсов учетной записи есть один или несколько лесов учетных записей с активными учетными записями пользователей. Может также существовать один (или несколько) лес ресурсов с отключенными учетными записями.

В этом сценарии один (или несколько) лес ресурсов доверяет всем лесам учетных записей. Обычно в лесу ресурсов используется расширенная схема Active Directory с Exchange и Lync. Все службы Exchange и Lync, а также другие общие службы находятся в этом лесу. У пользователей есть отключенные учетные записи в этом лесу. С лесом учетных записей связан почтовый ящик.

Аспекты топологии в Microsoft 365

Некоторые рабочие нагрузки Microsoft 365 налагают ряд ограничений на поддерживаемые топологии.

Рабочая нагрузка Ограничения
Exchange Online Дополнительные сведения о гибридных топологиях, поддерживаемых Exchange Online, см. в разделе Гибридные развертывания в нескольких лесах Active Directory.
Skype для бизнеса При использовании нескольких локальных лесов единственной поддерживаемой топологией является лес ресурсов учетной записи. Дополнительные сведения см. в статье Требования к среде Skype для бизнеса Server 2015.

Более крупным организациям рекомендуется использовать компонент Microsoft 365 PreferredDataLocation. Он позволяет определить, в каком регионе центра обработки данных расположены ресурсы пользователя.

промежуточного сервера

Промежуточный сервер в топологии

Microsoft Entra Подключение поддерживает установку второго сервера в промежуточном режиме. Сервер в этом режиме считывает данные из всех подключенных каталогов, но не записывает ничего в подключенные каталоги. Он использует обычный цикл синхронизации и поэтому содержит обновленную копию данных удостоверения.

При отказе основного сервера можно выполнить отработку отказа на промежуточный сервер. Это можно сделать в мастере Подключение Microsoft Entra. Второй сервер может находиться в другом центре обработки данных, так как он не делит инфраструктуру с основным сервером. Любые изменения конфигурации основного сервера следует вручную копировать на второй сервер.

Вы можете использовать промежуточный сервер, чтобы проверить новую пользовательскую конфигурацию и узнать, как она повлияет на данные. Вы можете просмотреть внесенные изменения и выполнить более точную настройку. Когда новая конфигурация будет завершена, вы сможете сделать промежуточный сервер активным и перевести старый сервер в промежуточный режим.

Этот метод также можно использовать для замены активного сервера синхронизации. Подготовьте новый сервер и переведите его в промежуточный режим. Убедитесь, что он работает правильно, и отключите промежуточный режим (сервер станет активным). Завершите работу текущего сервера.

Чтобы иметь несколько резервных копий в разных центрах обработки данных, можно использовать несколько промежуточных серверов.

Несколько клиентов Microsoft Entra

Рекомендуется использовать один клиент в идентификаторе Microsoft Entra для организации. Прежде чем планировать использование нескольких клиентов Microsoft Entra, см. статью Администратор управление управления единицами в идентификаторе Microsoft Entra. В ней описываются стандартные сценарии, в которых можно использовать один клиент.

Синхронизация объектов AD с несколькими клиентами Microsoft Entra

Схема, показывающая топологию нескольких клиентов Microsoft Entra.

Эта топология реализует следующие варианты использования.

  • Microsoft Entra Подключение может синхронизировать пользователей, группы и контакты из одного Active Directory в несколько клиентов Microsoft Entra. Эти клиенты могут находиться в разных средах Azure, таких как Microsoft Azure, управляемый средой 21Vianet или средой Azure для государственных организаций, но они также могут находиться в одной среде Azure, например в двух клиентах, которые оба находятся в коммерческой среде Azure. Дополнительные сведения о параметрах см. в разделе "Планирование удостоверения" для Azure для государственных организаций приложений.
  • Одну и ту же привязку источника можно использовать для одного объекта в отдельных клиентах (но не для нескольких объектов в одном клиенте). (Проверенный домен не может быть одинаковым в двух клиентах. Дополнительные сведения необходимы для включения одного объекта в два участника-участника.)
  • Вам потребуется развернуть сервер Microsoft Entra Подключение для каждого клиента Microsoft Entra, с которым вы хотите синхронизироваться. Один сервер Microsoft Entra Подключение не может синхронизироваться с несколькими клиентами Microsoft Entra.
  • Поддерживаются разные области и правила синхронизации для разных клиентов.
  • Для одного объекта можно настроить только одну синхронизацию клиента Microsoft Entra. Сюда входит обратная запись устройств и групп, а также гибридные конфигурации Exchange — эти функции можно настроить только в одном клиенте. Единственным исключением является компонент обратной записи паролей — см. ниже.
  • Поддерживается настройка синхронизации хэша паролей из Active Directory в несколько клиентов Microsoft Entra для одного и того же объекта пользователя. Если для клиента включена синхронизация хэша паролей, то компонент обратной записи паролей также может быть включен, причем на нескольких клиентах: при изменении пароля на одном клиенте компонент обратной записи паролей обновит его в Azure Active Directory, а синхронизация хэша паролей — в других клиентах.
  • Не поддерживается добавление и проверка того же имени личного домена в нескольких клиентах Microsoft Entra, даже если эти клиенты находятся в разных средах Azure.
  • Не поддерживается настройка гибридных интерфейсов, использующих конфигурацию уровня леса в AD, например простое единое вход и гибридное соединение Microsoft Entra (не целевой подход) с несколькими клиентами. Это может привести к перезаписи конфигурации другого клиента и сделать ее непригодной для использования. Дополнительные сведения см. в разделе "Планирование развертывания гибридного соединения Microsoft Entra".
  • Объекты устройств можно синхронизировать с несколькими клиентами, но устройство может быть гибридным присоединенным к одному клиенту.
  • Каждый экземпляр Microsoft Entra Подключение должен работать на компьютере, присоединенном к домену.

Примечание.

Синхронизация глобального списка адресов (GalSync) не выполняется автоматически в этой топологии. Для нее требуется дополнительная пользовательская реализация MIM, чтобы у каждого клиента был полный глобальный список адресов (GAL) в Exchange Online и Skype для бизнеса Online.

Синхронизация GALSync с помощью обратной записи

Неподдерживаемая топология для нескольких лесов и нескольких каталогов с фокусом на идентификаторе Microsoft EntraНеподдерживаемая топология для нескольких лесов и нескольких каталогов с синхронизацией GALSync, сфокусированной на локальном каталоге Active Directory

Синхронизация GALSync с локальным сервером синхронизации

Синхронизация GALSync в топологии для нескольких лесов и нескольких каталогов

Вы можете использовать Microsoft Identity Manager локально для синхронизации пользователей (через GALSync) между двумя организациями Exchange. Пользователи из одной организации будут отображаться в другой организации как внешние пользователи или контакты. Затем эти разные локальная служба Active Directory экземпляры можно синхронизировать с собственными клиентами Microsoft Entra.

Использование несанкционированных клиентов для доступа к серверной части Microsoft Entra Подключение

Использование несанкционированных клиентов для доступа к серверной части Microsoft Entra Подключение

Сервер Microsoft Entra Подключение взаимодействует с идентификатором Microsoft Entra через серверную часть Microsoft Entra Подключение. Единственным программным обеспечением, которое можно использовать для взаимодействия с этой серверной частью, является Microsoft Entra Подключение. Не поддерживается взаимодействие с серверной частью Microsoft Entra Подключение с помощью любого другого программного обеспечения или метода.

Следующие шаги

Сведения об установке Microsoft Entra Подключение для этих сценариев см. в статье "Настраиваемая установка Microsoft Entra Подключение".

Дополнительные сведения о конфигурации синхронизации Microsoft Entra Подключение.

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.