为目录同步准备本地 Active Directory
Contoso 的 IT 员工在部署 Microsoft Entra Connect 之前,非常重要的一步是检查本地 AD DS 和相关技术,确认是否存在潜在问题,并修正发现的所有问题。 如果要将目录同步作为 Microsoft 365 的标识服务来实现,这一点就尤为重要。
部署前检查
部署前检查应包括:
- 分析本地环境以检查 AD DS 对象特性中是否有无效字符,以及是否有错误的用户主体名称 (UPN)。
- 执行域电子邮件发现和用户计数。
- 标识域功能级别和架构扩展,标识使用中的自定义属性。
- 如果在 Microsoft 365 部署过程中部署 Microsoft Entra Connect,应标识用于 Microsoft Exchange 或 Skype for Business 的代理服务器。
- 如果在 Microsoft 365 部署过程中部署 Microsoft Entra Connect,应标识 Microsoft SharePoint 域。
- 评估客户端的 SSO 准备情况。
- 记录网络端口使用和与 Office 365 相关的 DNS 记录(如果在 Office 365 部署过程中部署 Microsoft Entra Connect)。
完成这些检查后,要执行的关键修正任务包括:
- 删除重复的
proxyAddress的和userPrincipalName属性。 - 更新空白和无效的
userPrincipalName属性,并替换为有效的userPrincipalName属性。 - 删除以下属性中的无效字符:
givenName、surname (sn)、sAMAccountName、displayName、mail、proxyAddresses、mailNickname和userPrincipalName。
用于 SSO 的 UPN 可以包含字母、数字、句点、短划线和下划线;不允许使用其他类型的字符。
如果要部署 Microsoft 365 且部署包括 SSO 计划,应在 SSO 全面实施之前确保 UPN 名称符合此要求。用于 SSO 和目录同步的域必须可路由,这意味着无法使用本地域名,如 Contoso.local。
Active Directory 运行状况检查工具
若要使目录同步正常工作,需要确保本地 Active Directory 已经过妥善准备且无错误。 可使用以下 AD DS 运行状况检查工具来确定和修正问题。
IdFix 工具
借助 Microsoft 365 IdFix 工具可在 Active Directory 中确定和修正大多数对象同步错误,包括诸如 proxyAddresses 和 userPrincipalName 重复或格式错误等常见问题。
可选择想要 IdFix 检查的 OU,还可以修复工具本身的常见错误。 常见错误可能包括这样一些问题:在脚本用户导入过程中引入到属性中的无效字符,如 proxyAddresses 和 mailNickname。
对于包含格式和重复错误的可分辨名称,IdFix 可能无法提供自动修正建议。 此类错误可以在 IdFix 外修复,也可以在 IdFix 中手动修正。
ADModify.NET 工具
对于格式问题等问题,可以在 Active Directory 用户和计算机中使用 ADSIEdit 或高级模式对每个对象的特定属性进行更改。 但是,若要对多个对象进行属性更改,ADModify.NET 是更好的工具。 这是因为,ADModify.NET 提供的批量模式操作对于 OU 或域上的属性(例如 UPN)更改特别有用。
附加阅读材料
若要了解详细信息,请查看以下文档。