Udostępnij przez

Zintegrować istniejący las oraz nowy las z jednym tenantem Microsoft Entra

Ten samouczek przeprowadzi Cię przez proces dodawania synchronizacji z chmurą do istniejącego środowiska tożsamości hybrydowej.

Diagram przedstawiający przepływ usługi Microsoft Entra Cloud Sync.

Możesz użyć środowiska utworzonego w tym samouczku na potrzeby testowania lub zapoznania się z działaniem tożsamości hybrydowej.

W tym scenariuszu istnieje istniejący las, który jest synchronizowany przy użyciu Microsoft Entra Connect Sync z dzierżawą Microsoft Entra. Masz nowy las, który chcesz zsynchronizować z tym samym tenantem Microsoft Entra. Skonfigurujesz synchronizację danych w chmurze dla nowego lasu.

Wymagania wstępne

W portalu administracyjnym Microsoft Entra

  1. Utwórz wyłącznie chmurowe konto administratora tożsamości hybrydowej w dzierżawie Microsoft Entra. W ten sposób można zarządzać konfiguracją dzierżawy w przypadku, gdy usługi lokalne zawiodą lub staną się niedostępne. Dowiedz się, jak dodać konto administratora tożsamości hybrydowej dostępne tylko w chmurze. Wykonanie tego kroku ma kluczowe znaczenie, aby zapobiec zablokowaniu w swojej dzierżawie.
  2. Dodaj jedną lub więcej niestandardowych nazw domen do dzierżawy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.

W Twoim środowisku lokalnym

  1. Zidentyfikuj serwer hosta przyłączony do domeny z systemem Windows Server 2012 R2 lub nowszym z co najmniej 4 GB pamięci RAM i środowiska uruchomieniowego .NET 4.7.1+

  2. Jeśli między serwerami a usługą identyfikatora Microsoft Entra znajduje się zapora, skonfiguruj następujące elementy:

    • Upewnij się, że agenci mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:

      Numer portu Zastosowanie
      80 Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL
      443 Zajmuje się całą komunikacją wychodzącą związaną z usługą
      8080 (opcjonalnie) Agenci zgłaszają swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w portalu.

      Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.

    • Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia do *.msappproxy.net i *.servicebus.windows.net. Jeśli nie, zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.

    • Agenci muszą mieć dostęp do login.windows.net i login.microsoftonline.com na potrzeby rejestracji początkowej. Otwórz zaporę także dla tych adresów URL.

    • W celu weryfikacji certyfikatu odblokuj następujące adresy URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 i www.microsoft.com:80. Ponieważ te adresy URL są używane do weryfikacji certyfikatów z innymi produktami firmy Microsoft, te adresy URL mogą już zostać odblokowane.

Zainstaluj agenta aprowizacji Microsoft Entra

Jeśli korzystasz z samouczka dotyczącego podstawowego środowiska AD i Azure, to będzie DC1. Aby zainstalować agenta, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. W okienku po lewej stronie wybierz pozycję Entra Connect, a następnie wybierz pozycję Synchronizacja z chmurą.

    Zrzut ekranu przedstawiający ekran rozpoczęcia.

  3. W okienku po lewej stronie wybierz pozycję Agenci.

  4. Wybierz opcję Pobierz agenta lokalnego, a następnie wybierz opcję Zaakceptuj warunki oraz pobierz.

    Zrzut ekranu przedstawiający pobieranie agenta.

  5. Po pobraniu pakietu agenta aprowizowania Microsoft Entra Connect uruchom plik instalacyjny AADConnectProvisioningAgentSetup.exe z folderu Pobrane.

  6. Na wyświetlonym ekranie zaznacz pole wyboru Wyrażam zgodę na postanowienia licencyjne, a następnie wybierz pozycję Zainstaluj.

    Zrzut ekranu przedstawiający postanowienia licencyjne pakietu Microsoft Entra Provisioning Agent.

  7. Po zakończeniu instalacji kreator konfiguracji zostanie otwarty. Wybierz przycisk Dalej , aby rozpocząć konfigurację.

    Zrzut ekranu przedstawiający ekran powitalny.

  8. Zaloguj się przy użyciu konta z co najmniej rolą Administrator tożsamości hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta microsoft Entra Provisioning Agent.

    Zrzut ekranu przedstawiający ekran Connect Microsoft Entra ID.

  9. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz Utwórz konto usługi gMSA. System wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta usługi gMSA. Po wyświetleniu monitu wybierz jedną z dwóch opcji:

    • Utwórz gMSA: Pozwól agentowi stworzyć provAgentgMSA$ konto zarządzanej usługi dla Ciebie. Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) jest tworzone w tej samej domenie usługi Active Directory, w której jest przyłączony serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
    • Użyj niestandardowego gMSA: Należy podać nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

    Zrzut ekranu przedstawiający sposób konfigurowania konta usługi zarządzanej przez grupę.

  10. Aby kontynuować, kliknij przycisk Dalej.

  11. Na ekranie Łączenie usługi Active Directory , jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wprowadź nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

    Zrzut ekranu przedstawiający skonfigurowane domeny.

  12. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub zmienia się podczas instalacji agenta, skonfiguruj ponownie agenta przy użyciu nowych poświadczeń. Ta operacja dodaje katalog lokalnej infrastruktury. Wybierz OK, a następnie wybierz Dalej, aby kontynuować.

  13. Wybierz przycisk Dalej, aby kontynuować.

  14. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja rejestruje i uruchamia ponownie agenta.

    Zrzut ekranu przedstawiający ekran zakończenia.

  15. Po zakończeniu operacji zostanie wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Wybierz pozycję Zakończ. Jeśli ekran początkowy nadal jest wyświetlany, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym z uruchomionym agentem.

Zweryfikuj agenta w portalu Azure

Aby sprawdzić, czy identyfikator Entra firmy Microsoft rejestruje agenta, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Wybierz pozycję Entra Connect, a następnie wybierz pozycję Synchronizacja w chmurze.

    Zrzut ekranu przedstawiający ekran rozpoczęcia.

  3. Na stronie Synchronizacja w chmurze kliknij pozycję Agenci , aby wyświetlić zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest aktywny.

Weryfikowanie agenta na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.

  2. Przejdź do Services. Możesz również użyć Start/Run/Services.msc, aby uzyskać do niego dostęp.

  3. W obszarze Usługi upewnij się, że Microsoft Azure AD Connect Agent Updater i Agent aprowizacji Microsoft Azure AD Connect są obecne i że ich stan to Uruchomiony.

    Zrzut ekranu przedstawiający usługi systemu Windows.

Sprawdź wersję agenta aprowizacji

Aby sprawdzić wersję uruchomionego agenta, wykonaj następujące kroki:

  1. Przejdź do C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Kliknij prawym przyciskiem myszy AADConnectProvisioningAgent.exe i wybierz pozycję właściwości .
  3. Wybierz kartę Szczegóły. Numer wersji jest wyświetlany obok wersji produktu.

Konfigurowanie usługi Microsoft Entra Cloud Sync

Aby skonfigurować aprowizację, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Przejdź do Entra ID>Entra Connect>Synchronizacja z chmurą.

    Zrzut ekranu przedstawiający stronę główną usługi Microsoft Entra Connect Cloud Sync.

  1. Wybierz nową konfigurację
  2. Na ekranie konfiguracji wprowadź wiadomość e-mail z powiadomieniem, przenieś selektor do pozycji Włącz i wybierz pozycję Zapisz.
  3. Stan konfiguracji powinien być teraz w dobrej kondycji.

Weryfikacja utworzenia użytkowników i przebiegu synchronizacji

Teraz sprawdzisz, czy użytkownicy, których mieliśmy w naszym katalogu lokalnym, zostali zsynchronizowani i teraz istnieją w środowisku dzierżawy Microsoft Entra. Ukończenie tego procesu może potrwać kilka godzin. Aby sprawdzić, czy użytkownicy są zsynchronizowani, wykonaj następujące czynności:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.
  2. Przejdź do pozycji Entra ID>Użytkownicy.
  3. Zweryfikuj, czy widzisz nowych użytkowników w naszej dzierżawie.

Testowanie logowania się przy użyciu jednego z kont użytkowników

  1. Przejdź do https://myapps.microsoft.com

  2. Zaloguj się przy użyciu konta użytkownika utworzonego w naszym nowym obszarze roboczym. Musisz zalogować się przy użyciu następującego formatu: (user@domain.onmicrosoft.com). Użyj tego samego hasła, za pomocą którego użytkownik loguje się lokalnie.

    Zrzut ekranu przedstawiający portal moje aplikacje z zalogowanymi użytkownikami.

Teraz pomyślnie skonfigurowano środowisko tożsamości hybrydowej, którego można użyć do testowania i zapoznania się z ofertą platformy Azure.

Następne kroki

  • Last updated on