【Exchange Online混和模式迁移系列】01 安装配置Azure AD Connect

【Exchange Online混和模式迁移系列】01 安装配置Azure AD Connect

Azure AD Connect 的作用

Azure AD Connect（简称AADC) 是用于将企业本地(On-Premises) AD 里的对象(用户、组、计算机)同步到Azure AD的工具。一般情况下，均为AD --> Azure AD 的单向同步，如果启用了以下两种选项，则会从Azure AD同步相应的数据回本地AD。

密码写回(Password Write Back) -- 允许用户在Azure AD里修改自己的密码，新密码会同步回AD组写回(Group Write Back) -- 将把Azure AD里创建的组(Group)写回本地AD。这在长期保持Exchange Hybrid(混合)共存模式，且本地Exchange 邮箱需要发送邮件到在Microsoft 365中直接创建的组时需要用到。如果是全体邮箱都在短期内迁移到M365，不需要选择组写回。

配置过程

可以在一台新的Windows Server上安装AADC， AADC需要与Azure AD 通信，因此需要通过防火墙发布这台主机。不建议在DC上装AADC，但偶尔也有客户这么做。

配置过程还是比较直观的，以图为例

为示例所有选项，我选择的是自定义配置。

用户登录方式通常选择默认的密码哈希同步。用户可以直接使用与AD相同的用户名和密码登陆Microsoft 365和Azure AD。

若在这里选择了AD FS 身份验证，那么用户在访问云端服务时，会重新回到AD FS的登录页面进行 身份验证。一旦本地AD FS出现服务故障，用户也就无法使用云端的服务。

随后输入云端的全局管理员账号和密码。

接着是输入本地AD里具有Enterprise Admin权限的管理员账号和密码。AADC会新建一个AD 账号, 用作数据同步的服务账号(service account)。

6.连接成功后目录旁边会出现绿色的✓。

如果本地AD域名与公开使用的域名不一致，并且未添加到Azure AD过，那么AADC会将其标明为未添加域。勾选底部的"继续但不匹配已经验证域的所有UPN后缀可以继续，但仍需修改用户的UPN，以保证其可以通过UPN登陆使用M365的服务。

我的另一篇博文里记录有可以进行批量UPN修改的PowerShell 脚本。

在域和OU筛选里，建议选择同步选定的域和OU，否则默认AADC会将当前AD里所有的对象同步过去，包括很多不需要的组、计算机对象等，例如Exchange、Lync/SfB server创建的很多组对象。

唯一标识用户页面不需更改，直接继续。

可以先选一部分用户进行实验，因为我之前已经筛选过了OU，所以这里直接继续。

可选功能中，由于最终目的是进行邮箱迁移，因此需要勾选第一项"Exchange 混合部署"。

配置完成后，AADC将自动进行首次同步。

Syncronization Service Manager查看同步状态

当AADC安装配置完成后，会创建四个应用快捷方式。运行Azure AD Connect将重新回到配置向导，可以更改选项。

Syncronizaiton Service Manager 是我常用的工具，用来查看同步状态、是否有同步错误。需要用管理员权限打开此应用。

其界面如下，里面能看到同步是否成功，发生的是完全同步(Full Sync)还是增量同步(Delta Sync)

使用PowerShell命令触发同步

默认情况，AADC每30分钟进行一次增量同步，只同步两边不一样的数据。例如某用户在AD里更改了他的显示名，那只有这个新的显示名会被同步到Azure AD，而不是这个用户的所有AD属性。

在安装有AADC的服务器上，以管理员身份打开Power Shell，可以通过以下2条命令行来手工触发一次同步。

首先需要运行以下命令导入ADSync模块。

Import-Module ADSync

随后根据需要运行命令之一

触发增量同步

Start-ADSyncSyncCycle -PolicyType Delta

触发完全同步

Start-ADSyncSyncCycle -PolicyType Initial

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。