Установка службы синхронизации Azure Active Directory Sync

Обновлено: 22 июля 2015 г.

Важно!

Этот раздел будет архивирован в ближайшее время.
Существует новый продукт с именем "Azure Active Directory Подключение", который заменяет AADSync и DirSync.
Azure AD Connect применяет компоненты и функции, ранее выпущенные как Dirsync и служба синхронизации AAD.
В какой-то момент в будущем поддержка Dirsync и AAD Sync будет завершена.
Эти средства больше не обновляются отдельно с помощью улучшений функций, и все будущие улучшения будут включены в обновления для Azure AD Подключение.

Последние сведения о Azure Active Directory Подключение см. в статье "Интеграция локальных удостоверений с Azure Active Directory

Этот раздел содержит все сведения, необходимые для успешной установки Azure AD Sync в вашей среде.

Требования установки

В этом разделе перечисляются требования, которые должны быть выполнены для установки Azure AD Sync в соответствующей среде.
Azure AD Sync позволяет интегрировать локальные доменные службы Active Directory с каталогом Azure AD.
Это значит, что вам необходим доступ к локальной доменной службе Active Directory, а также к действительной подписке Azure с установленным каталогом Azure AD.

Для установки Azure AD Sync требуется компьютер под управлением операционной системы Windows Server.
Поддерживаются следующие версии:

• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

Компьютер может быть изолированным, рядовым сервером или контроллером домена.
На компьютере должны быть установлены следующие компоненты:

• .NET 4.5.1

• PowerShell (PS3 или выше)

Для установки Azure AD Sync необходима учетная запись с правами локального администратора на компьютере установки.

Azure AD Sync требуется база данных SQL Server для хранения идентификационных данных. По умолчанию на локальном компьютере устанавливается SQL Express LocalDB (облегченная версия SQL Server Express) и создается учетная запись для службы.
SQL Server Express имеет ограничение размера в 10 ГБ, что позволяет администрировать примерно 100 000 объектов.

Если объектов каталога, требующих управления, больше, выберите другую версию SQL Server в процессе установки.
AAD Sync поддерживает все выпуски Microsoft SQL Server от SQL Server 2008 до SQL Server 2014.

Перед началом

Прежде чем вы сможете выполнить установку Azure AD Sync, необходимо выполнить следующие действия:

1. Создание учетной записи AD для подключения к доменной службе Active Directory

2. Создание учетной записи для подключения к Azure AD

Соответствующие действия описаны в следующих разделах.

Создание учетной записи AD для подключения к доменной службе Active Directory

При настройке службы Azure AD Sync, необходимо предоставить данные учетной записи, которая используется службой Azure AD Sync для подключения к доменной службе Active Directory.
Можно использовать обычную учетную запись пользователя, поскольку учетной записи требуется только разрешение для чтения по умолчанию.

Следующие разделы содержат дополнительные сведения о разрешениях, необходимых для учетной записи доменной службы Active Directory, и атрибутах, доступ к которым ей необходим.

Разрешения для синхронизации паролей

Если необходимо включить синхронизацию паролей между локальной доменной службой Active Directory и Azure Active Directory для пользователей, необходимо предоставить следующие разрешения для учетной записи, используемой службой Azure AD Sync для подключения к доменной службе Active Directory:

• Репликация изменений каталога

• Репликация всех изменений каталога

Чтобы включить для учетной записи функцию чтения хэшей паролей из локальной доменной службы Active Directory, требуются оба разрешения.

Атрибуты и разрешения обратной записи Office 365 Exchange Hybrid AAD Sync.

Если вам необходимо обеспечить полноценные возможности совместной работы между локальными инфраструктурами Exchange и Office 365 (гибридная версия Exchange), это можно сделать, выбрав дополнительную функцию гибридного развертывания Exchange. При выборе этой функции можно включить службу AAD Sync для выполнения обратной записи атрибутов в локальную среду.

В следующей таблице приводится список атрибутов по типу объекта, которые требуют выполнения обратной записи:

Тип объекта	Атрибут источника данных
Contact	proxyAddresses
Группа	proxyAddresses
User/InetOrgPerson	msExchArchiveStatus
	msExchBlockedSendersHash
	msExchSafeRecipientsHash
	msExchSafeSendersHash
	msExchUCVoiceMailSettings
	msExchUserHoldPolicies
	proxyAddresses

Учетная запись, настроенная в Подключение для доменные службы Active Directory диалоговой страницы, должна иметь определенные разрешения на указанные выше атрибуты.

В приведенной ниже таблице перечисляется минимальный набор разрешений, которые требуются учетной записи, использующей номенклатуру DSACLS.

Тип объекта	Атрибут источника данных	Разрешение/право доступа	Наследование
Contact	proxyAddresses	запись	Только дочерние объекты
Группа	proxyAddresses	запись	Только дочерние объекты
User/InetOrgPerson	msExchArchiveStatus	запись	Только дочерние объекты
	msExchBlockedSendersHash	запись	Только дочерние объекты
	msExchSafeRecipientsHash	запись	Только дочерние объекты
	msExchSafeSendersHash	запись	Только дочерние объекты
	msExchUCVoiceMailSettings	запись	Только дочерние объекты
	msExchUserHoldPolicies	запись	Только дочерние объекты
	proxyAddresses	запись	Только дочерние объекты

Разрешения на обратную запись и смену пароля.

Функция обратной записи паролей является удобным способом для пользователей сбросить пароли от локальных служб с помощью облака. Во время настройки службы Azure AD Sync обратную запись паролей можно активировать в качестве дополнительной функции.

Для учетной записи, которую вы указали в мастере для каждого из лесов, настроенных в Azure AD Sync, должны быть предоставлены расширенные права "Сброс пароля" и "Смена пароля" для корневого объекта в каждом домене в данном лесу. Право должно быть помечено как наследуемое всеми объектами пользователя.

Используйте следующую процедуру для назначения разрешений для каждой учетной записи, которую вы настроили.

Настройка расширенных прав сброса и изменения пароля

1. Откройте раздел Пользователи и компьютеры Active Directory.

2. В разделе Представление в верхней части экрана проверьте, включены ли Дополнительные возможности.

3. Щелкните правой кнопкой мыши корневой домен в левой части экрана и выберите пункт Свойства.

4. Откройте вкладку «Безопасность» и нажмите кнопку Дополнительно.

   

5. На вкладке «Разрешения» нажмите кнопку Добавить.

   

6. Нажмите «Выбор участника» и выберите учетную запись, созданную во время настройки.

7. В раскрывающемся списке выберите Дочерние объекты пользователя.

8. В разделе «Разрешения» выберите Сброс пароля и Изменение пароля.

   

9. Нажмите кнопку ОК. Щелкните Применить. Нажмите кнопку ОК.

Создание учетной записи для подключения к Azure AD

При настройке службы Azure AD Sync необходимо предоставить данные учетной записи, которая используется службой Azure AD Sync для подключения к Azure AD.

Для этой учетной записи следует применять следующие рекомендации.

• Следует создать отдельную учетную запись, которая будет использоваться только службой Azure AD Sync.

• Необходимо настроить учетную запись с надежным паролем, содержащим 16 символов.

• Необходимо установить флажок "Срок действия пароля неограничен" для учетной записи.
  Для выполнения этой задачи можно использовать следующий код скрипта PowerShell:

  set-msoluser -UserPrincipalName syncaccount@contoso.com -PasswordNeverExpires $True
  

• Учетная запись должна иметь выбранную роль глобального администратора в организации.

  

Установка и настройка Azure AD Sync

Последнюю версию Azure AD Sync можно скачать по следующей ссылке:https://go.microsoft.com/fwlink/?LinkId=511690

Чтобы начать процесс установки, запустите исполняемый файл MicrosoftAzureADConnectionTool.exe.
Этот самоизвлекающийся исполняемый файл помещает все нужные файлы на локальный диск и начинает процесс установки.
Если вы отмените процедуру установки, в меню «Пуск» и на рабочем столе будет создан ярлык.

Если для учетной записи службы требуется учетная запись SQL Server или домена, необходимо отменить работу мастера сейчас. На этот момент процесс установки уже создал локальную папку, содержащую файлы для Azure AD Sync. Содержимое этой папки потребуется для перезапуска процесса установки с параметрами.

Чтобы перезапустить процесс установки, выполните следующие действия.

1. Откройте командную строку и перейдите в папку C:\Program Files\Microsoft Azure AD Connection Tool.

2. Снова запустите мастер со следующими параметрами:

   DirectorySyncTool.exe /sqlserver localhost
                         /sqlserverinstance InstanceName
                         /serviceAccountDomain Azure AD Sync
                         /serviceAccountName Azure AD SyncSvc
                         /serviceAccountPassword VerySecretP@ssw0rd
   

   Примечание

   Если планируется использовать раздел SQL по умолчанию, то не указывайте этот параметр.

Теперь все готово для заполнения страниц диалога, связанных с процессом установки.

Чтобы установить средство Azure AD Sync, необходимо заполнить следующие страницы диалогового окна:

1. Установка

2. Подключение к Azure Active Directory

3. Подключение к доменным службам Active Directory

4. Настройка соответствия пользователей

5. Дополнительные функции

6. Приложения Azure AD

7. Атрибуты Azure AD

8. Готово к настройке

9. Выполнено

Установка

На первом шаге процесса установки необходимо принять условия лицензии и указать расположение Azure AD Sync.

Подключение к Azure Active Directory

Для подключения к каталогу Azure AD средству Azure AD Sync требуются данные учетной записи с достаточными разрешениями.

Дополнительные сведения см. в статье "Создание учетной записи для подключения к Azure AD".

Подключение к доменным службам Active Directory

Для подключения к доменной службе Active Directory средству Azure AD Sync требуются учетные данные учетной записи с достаточными разрешениями.

Дополнительные сведения см. в статье "Создание учетной записи AD для подключения к AD DS".

Настройка соответствия пользователей

На этой странице необходимо настроить следующее:

1. Сопоставление между лесами

2. Сопоставление с Azure AD

Сопоставление между лесами

Компонент Сопоставление между лесами позволяет указать, каким образом пользователи из лесов ADDS будут представляться в Azure AD.
Пользователь может быть представлен во всех лесах только один раз или может иметь комбинацию включенных и отключенных учетных записей.

Параметр	Описание
Пользователи представлены однократно во всех лесах	В Azure AD все пользователи создаются как отдельные объекты. Объекты не соединены в метавселенной.
Атрибут mail	Этот параметр соединяет пользователей и контакты, если атрибут почты имеет то же значение в разных лесах. Его рекомендуется использовать, если контакты были созданы с помощью GALSync.
ObjectSID и msExchangeMasterAccountSID	Этот вариант соединяет включенного пользователя в лесу учетных записей с отключенным пользователем в лесу ресурсов Exchange. Он также называется связанным почтовым ящиком в Exchange.
sAMAccountName и MailNickName	Этот вариант соединяет атрибуты, когда предполагается, что идентификатор для входа пользователя может быть найден.
Собственный атрибут	Этот параметр позволяет выбрать собственный атрибут. Ограничение в CTP: обязательно выберите атрибут, который уже будет существовать в метавселенной. Если вы выберете настраиваемый атрибут, мастер не сможет выполниться.

Сопоставление с Azure AD

Этот вариант можно использовать, чтобы указать атрибут, который должен использоваться для федерации удостоверений. Атрибут sourceAnchor не изменяется в течение срока существования объекта-пользователя. Для сред с единственным лесом и сред, где учетная запись никогда не перемещается между лесами, хорошо подходит атрибут objectGUID. Если пользователь перемещается между лесами или доменами, необходимо выбрать другой атрибут.

Атрибут userPrincipalName — это идентификатор пользователя для входа в Azure AD. По умолчанию используется атрибут userPrincipalName в ADDS. Если этот атрибут не маршрутизируется или не подходит в качестве идентификатора для входа, в руководстве по установке можно выбрать другой атрибут, например, mail.

Дополнительные функции

Если имеется гибридное развертывание Exchange, установите этот флажок. Это позволит выполнять обратную запись некоторых атрибутов из Exchange Online в локальный каталог Active Directory.

Обратная запись пароля — это функция Azure Active Directory Premium. Дополнительные сведения о настройке этого см. в разделе https://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx.

Если вам нужно пересмотреть или ограничить атрибуты, синхронизируемые с Azure AD, выберите вариант фильтрации атрибутов и приложений Azure AD. В мастере появятся две дополнительные страницы.

Дополнительные сведения о синхронизации паролей см. в разделе "Реализация синхронизации паролей с помощью синхронизации Azure Active Directory"

Приложения Azure AD

Если вам нужно ограничить атрибуты, которые синхронизируются с Azure AD, сначала выберите используемые службы. Если настраивается эта страница, то все новые службы должны выбираться явно путем перезапуска руководства по установке.

Атрибуты Azure AD

В зависимости от служб, выбранных в предыдущем шаге, на этой странице будут отображаться все синхронизируемые атрибуты. Этот список сочетает в себе все типы объектов, для которых выполняется синхронизация. Если какие-то атрибуты не нужно синхронизировать, можно снять их флажки. На рисунке выше сняты флажки атрибутов extensionAttribute и homePhone, следовательно, эти атрибуты не будут синхронизироваться в Azure AD.

Готово к настройке

На этой странице приводится обзор вашей конфигурации. Внимательно просмотрите обзор, прежде чем перейти к следующей странице.

Если на этом шаге возникает ошибка "Не удается установить связь со службой Microsoft Azure Active Directory" и у вас имеется настроенный прокси-сервер, необходимо добавить настройки прокси-сервера в файл "machine.config" на компьютере Azure AD Sync.
Дополнительные сведения см. в разделе <proxy> Element (Network Параметры).

Выполнено

Конфигурация по умолчанию создана. Если вы готовы начать синхронизацию, нажмите кнопку «Готово».
Если перед запуском синхронизации нужно сделать какие-либо дополнительные настройки, снимите флажок «Синхронизировать сейчас» и нажмите кнопку «Готово». В планировщике заданий будет создана отключенная задача. По завершении работы с конфигурацией запустите периодическую синхронизацию, включив эту задачу.

См. также:

Основные понятия

Синхронизация Azure Active Directory
Azure Active Directory Sync — журнал выпуска версий
Реализация синхронизации паролей с Azure Active Directory Sync

Другие ресурсы

Заметки о выпуске Azure AD Sync