教程: 将密码哈希同步设置为 Azure Directory 联合身份验证服务的备份

  • 项目

本教程会指导你逐步在 Microsoft Entra Connect 中将密码哈希同步设置为 Azure Directory 联合身份验证服务 (AD FS) 的备份和故障转移。 本教程还演示了如何在 AD FS 失败或变得不可用时将密码哈希同步设置为主要身份验证方法。

注意

虽然这些步骤通常在紧急或中断情况下执行,但建议在发生中断之前测试这些步骤并验证过程。

先决条件

本教程基于 教程: 在单个 Active Directory 林中使用混合标识的联合身份验证。 完成该教程是完成本教程步骤的先决条件。

注意

如果你无权访问 Microsoft Entra Connect 服务器,或者服务器无权访问 Internet,你可联系 Microsoft 支持部门 来协助更改 Microsoft Entra ID。

在 Microsoft Entra Connect 中启用密码哈希同步

教程:在单个 Active Directory 林中使用混合标识的联合身份验证中,你创建了一个使用联合身份验证的 Microsoft Entra Connect 环境。

设置联合身份验证的备份时,第一步是启用密码哈希同步,并设置 Microsoft Entra Connect 来同步哈希:

  1. 双击安装期间在桌面上创建的 Microsoft Entra Connect 图标。

  2. 选择“配置” 。

  3. 在“其他任务”中,依次选择“自定义同步选项”、“下一步”。

    Screenshot that shows the Additional tasks pane, with Customize synchronization options selected.

  4. 输入在本教程中为 混合标识管理员帐户 创建的用户名和密码,从而设置联合身份验证。

  5. 在“连接目录”中,选择“下一步”。

  6. 在“域和 OU 筛选”中,选择“下一步”。

  7. 在“可选功能”中,依次选择“密码哈希同步”、“下一步”。

    Screenshot that shows the Optional features pane, with Password hash synchronization selected.

  8. 在“已准备好配置”中选择“配置”。

  9. 配置完成后,选择“退出”。

就这么简单! 大功告成。 密码哈希同步即将发生,如果 AD FS 变得不可用,其可用作备份。

切换到密码哈希同步

重要

  • 在切换到密码哈希同步之前,请创建 AD FS 环境的备份。 可以使用 AD FS 快速还原工具 创建备份。

  • 密码哈希需要一些时间才能同步到 Microsoft Entra ID。 最多可能需要三个小时才能完成同步,可以使用密码哈希开始进行身份验证。

接下来,切换到密码哈希同步。 在开始之前,请考虑应在哪些情况下进行切换。 不要因为暂时性原因(例如网络中断、微小的 AD FS 问题,或影响部分用户的问题)进行切换。

如果因解决问题的时间过长而决定进行切换,请完成以下步骤:

  1. 在 Microsoft Entra Connect 中,选择“配置”。
  2. 依次选择“更改用户登录”、“下一步”。
  3. 输入在本教程中为 混合标识管理员帐户 创建的用户名和密码,从而设置联合身份验证。
  4. 在“用户登录”中,依次选择“密码哈希同步”、“不转换用户帐户”复选框。
  5. 保留默认选中的“启用单一登录”并选择“下一步”。
  6. 在“启用单一登录”下选择“下一步”。
  7. 在“已准备好配置”中选择“配置”。
  8. 配置完成后,选择“退出”。

用户现在可以使用他们的密码登录到 Azure 和 Azure 服务。

使用用户帐户登录以测试同步

  1. 在新的 web 浏览器窗口中,转到 https://myapps.microsoft.com

  2. 使用在我们的新租户中创建的用户帐户登录。

    对于用户名,请使用格式 user@domain.onmicrosoft.com。 使用用户用于登录本地 Active Directory 的相同密码。

    Screenshot that shows a successful message when testing the sign-in.

切换回联合身份验证

现在,切换回联合身份验证:

  1. 在 Microsoft Entra Connect 中,选择“配置”。

  2. 依次选择“更改用户登录”、“下一步”。

  3. 输入混合标识管理员帐户的用户名和密码。

  4. 在“用户登录”中,依次选择“使用 AD FS 进行联合身份验证”、“下一步”。

  5. 在“域管理员凭据”中,输入 contoso\管理员用户名和密码,然后选择“下一步”。

  6. 在“AD FS 场”中,选择“下一步”。

  7. 在“Microsoft Entra 域”中,选择域,然后选择“下一步”。

  8. 在“已准备好配置”中选择“配置”。

  9. 配置完成后,选择“下一步”。

    Screenshot that shows the Configuration complete pane.

  10. 在“验证联合身份验证连接”中,选择“验证”。 可能需要配置 DNS 记录(添加 A 和 AAAA 记录)才能成功完成验证。

    Screenshot that shows the Verify federation connectivity dialog and the Verify button.

  11. 选择“退出”。

重置 AD FS 和 Azure 信任

最后一项任务是重置 AD FS 与 Azure 之间的信任:

  1. 在 Microsoft Entra Connect 中,选择“配置”。

  2. 依次选择“管理联合身份验证”、“下一步”。

  3. 选择“重置 Microsoft Entra ID 信任”,然后选择“下一步”。

    Screenshot that shows the Manage federation pane, with Reset Microsoft Entra ID selected.

  4. 在“连接到 Microsoft Entra ID”中,输入全局管理员帐户或混合标识管理员帐户的用户名和密码。

  5. 在“连接到 AD FS”中,输入 contoso\管理员用户名和密码,然后选择“下一步”。

  6. 在“证书”中,选择“下一步”。

  7. 重复 使用用户帐户登录以测试同步 中的步骤。

你已成功设置混合标识环境,可以将其用于测试和熟悉 Azure 提供的功能。

后续步骤