導入 DirectorySync Serivces. 同步On-Premises AD 帳號及密碼至 Office 365
問題描述:
客戶需要導入Exchange 2010 SP3 Hybrid 架構,因此需要知道如何導入 DirectorySync Serivces.
客戶需要同步On-Premises AD 帳號及密碼至 Office 365.
解決方法:
要安裝部署 Windows Azure Active Directory Sync 工具,請依照下列步驟依序完成.
Azure AD Connect 和 Azure AD Connect Health 安裝藍圖。 | Microsoft Docs
步驟1: 準備事項
在安裝 Windows Azure Active Directory Sync 工具之前必需要先符合滿足幾個條件,在步驟1中我們將會列出這些條件需求.
I. 必需先完成 Office 365 的網域設定. 管理者必需先將公司對外的Internet Domain 加入到 Office 365 網域中並且完成認證(狀態顯示為作用中),如下圖:
![clip_image001[1]](http://i-services.info/tzung/wp-content/uploads/2020/08/clip_image0011.png "clip_image001[1]")
II. On-Premises 的 AD Domain 必需至少是 Windows Server 2003 with SP2的版本
III. 不可以將 Windows Azure Active Directory Sync 工具安裝在 Domain Controller (DC) Server 上
IV. Windows Azure Active Directory Sync 工具必需安裝在 Windows AD Domain Member Server 上且僅支援 Windows Server 2008 R2 /2012 /2012 R2等64位元版本的作業系統.
V. 必需事先安裝 .NET Framewotk 3.51 With SP1
VI. 目前 Office 365 Windows Azure Active Directory 預設只支援最多 50,000 物件的同步. 若您的客戶需要同步超過50,000的物件到 Office 365 Windows Azure Active Directory中則必需事先向Office 365 Support Team 提出申請.
VII. 安裝 Windows Azure Active Directory Sync 工具時必需使用具有 Enterprise Administrators 的帳號進行安裝, 在安裝完畢後則會使用自行建立的特殊 Non Admin 權限的Services Account 進行服務的執行.
VIII. 安裝時會一併安裝 SQL Express 做為同步資料的設定儲存,所以會需要稍長的安裝時間(約10~15分鐘).
IX. 有關於 Windows Azure Active Directory Sync 工具的硬體建議參考值則請參考下列表格中的說明.
|
Active Directory 中的物件數目 (需要被同步的物件數目) |
CPU |
記憶體 |
硬碟大小 |
|
少於 10,000 個 |
1.6 GHz |
4 GB |
70 GB |
|
10,000–50,000 |
1.6 GHz |
4 GB |
70 GB |
|
50,000–100,000 需要完整的 SQL Server |
1.6 GHz |
16 GB |
100 GB |
|
100,000–300,000 需要完整的 SQL Server |
1.6 GHz |
32 GB |
300 GB |
|
300,000–600,000 需要完整的 SQL Server |
1.6 GHz |
32 GB |
450 GB |
|
超過 600,000 個 需要完整的 SQL Server |
1.6 GHz |
32 GB |
500 GB |
步驟2: 啟用目錄同步作業
在安裝 Windows Azure Active Directory 工具前,管理者必需先啟用 Office 365 Azure Active Directory 目錄同步的作業.
要啟用Office 365 Azure Active Directory 目錄同步的作業請參考下列步驟設定.
I. 以Office 365 管理者身份登入 https://portal.microsoftonline.com/DirSync/DirectorySynchronization.aspx Office 365 管理中心的 Active Directory 設定及同步處理設定畫面
II. 在Active Directory 設定及同步處理設定畫面中按下步驟 3 的啟用, 如下圖
如上圖完成啟用 Office 365 Azure Active Directory 的目錄同步處理後,接著請在步驟 4 中按下載取得最新版本的 Windows Azure Active Directory Sync 的工具,如下圖.
請務必一定要透過步驟 4 中的下載按鈕取得 Windows Azure Directory Sync 工具,以避免安裝到不正確版本的Directory Sync 工具.
將 Internet Domain Name 加入到 On-Premises AD的UPN尾碼中
請務必記得必需要先將已加入到Office 365 網域的Internet Domain 加入到 AD UPN的尾碼中,步驟如下:
開啟 AD Domain And Trust 管理工具在最上層右鍵內容,如下圖:
將已加入到Office 365 網域的Internet Domain 加入到 AD UPN的尾碼中,如下圖:
完成 AD 的 UPN 尾碼新增後, 需要再調整使用者帳號的 UPN 登入尾碼,如下圖:
必需完成上述的UPN調整設定後,使用者的帳號才能正常的被同步到 Office 365 Azure Active Directory中.
步驟3: 安裝 Windows Azure Active Directory Sync 工具
若您的客戶的 On-Premises AD 環境是屬於中大型的AD 目錄架構,則我們會建議客戶在安裝 Windows Azure Active Directory Sync 工具前下載執行 IdFix 工具.
IdFix 工具可以協助管理者在進行 Windows Azure Active Directory 同步前,針對內部部署的AD進行同步物件的屬性值的掃瞄以事先找出會導致同步失敗的 AD 物件.
除此之外 IdFix 也可以在有問題的物件 Report 中提供建議的修正方法,管理者可以決定是否依據建議方法進行物件屬性的修正及套用.
IdFix 下載網址: http://www.microsoft.com/en-us/download/details.aspx?id=36832
下載解壓後會產生兩個檔案,一個為 Guide 說明文件(如附件檔),另一則為 IdFix.exe 執行檔.
底下為IdFix的執行畫面
如上圖執行Query後會針對目前現有的 Contoso.Com 的目錄進行物件屬性的掃瞄 (一共掃瞄了101的物件,沒有發現任何錯誤).
若有物件的屬性會造成Active Directory 目錄同步的失敗或錯誤時則IdFix 會將該物件列出,如下圖:
管理者可以針對有問題的物件屬性進行 Remove / EDIT的動作進行套用.
管理者也可以針對需要被同步的AD OU進行Filter Query的設定,如下圖只針對Employese OU底下的AD物件進行掃瞄:
完成 IdFix 的先前檢查後便可以開始正式安裝 Windows Azure Directory Sync 工具.
底下為 Windows Azure Directory Sync 工具安裝畫面截圖:
Windows Azure Active Directory Sync 授權聲明,您必需閱讀後選擇我接受(I Accept)才能進行下一步安裝.
選擇安裝路徑
Windows Azure Active Directory 安裝 SQL Express 中,會需要10~15分鐘的安裝時間.
安裝完成後請將立即啟用設定精靈的選項取消,並按下完成以結束安裝程序.
步驟4: 同步處理內部部署AD目錄
在這個步驟中我們將設定並開始第一次目錄同步的作業.
Windows Azure Active Directory Sync 預設情況下會將整個目錄中的所有物件都同步到 Office 365 Azure Active Directory 目錄中.
若您的客戶只想要將某一OU或某一個Domain中的使用者同步到 Office 365 Azure Active Directory 目錄中則就必需先設定好要同步的Filter 條件.
設定 Windows Azure Active Directory Sync Filter步驟如下:
I. 執行位於 C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell 目錄下的miisclient.exe 程式
II. 點選 Management Agents 選取 Active Director Connector 右鍵選擇 Properties
III. 點選 Configure Directory Partitions 並在 Select containers for this partition 按下Containers 並在接下來的畫面輸入 Domain\Administrator 帳號及密碼
IV. 預設值為同步整個AD目錄中的物件,如下圖
V. 接著勾選所需要同步的OU或網域(如果為多網域架構),如下圖:
在 Advanced 的選項中,管理者可以選擇用正向表列或負向表列
VI. 選定所需要同步的來源目標後按下OK完成Filter條件的設定,接著便可以執行位於桌面上的 Windows Azure Active Directory Sync 工具捷徑.
設定 Windows Azure Active Directory Sync 工具步驟如下:
I. 設定 Windows Azure Active Directory Sync 工具的歡迎畫面
II. 輸入Windows Azure Active Directory (Office 365 Admin)的帳號及密碼,如下圖.
III. 接著輸入具有 Enterpis Administrators 權限的On-Premises AD的帳號及密碼
IV. 因為是要執行 Exchange Hybrid 部署,所以請記得勾選 Enable Hybrid Deployment 選項
V. 若客戶需要一併將On-Premises AD 帳號的 Password Hash 同步上去,則請記得勾選 Enable Password Sync選項
VI. 接著Wizard 會開始連線至 Office 365 以及 On-Permises AD 並進行相關設定值的儲存
VII. 接著若要立即馬上進行第一次的目錄同步則請保留勾選 Synchronize your directories now (立即同步處理您的目錄)
VIII. 按下完成便會開始第一次的目錄同步處理
步驟5: 確認同步處理作業
完成同步作業後管理者可以在 Office 365 的使用者和群組中看到同步上來的使用者帳號(其狀態顯示為”已和Active Directory 同步處理)如下圖.
由於帳號是從On-Premises AD中同步上來的,因此Office 365 管理者無法透過 Office 365 管理界面去修改這些帳號的屬性值(例如: Title/部門/電話/辦公室….等).
若要確認同步作業是否正常, On-Premises AD 管理者可以在被同步的帳號中修改帳號的屬性值(例如: Title/部門/電話/辦公室….等),然後等待同步後看其變更值是否被同步到 Office 365的相同帳號中.
步驟6: 啟用同步的使用者帳號(指派 Office 365 授權)
被同步上去的使用者帳號必需要先指派Office 365 授權後才能開始使用 Office 365相關服務.
您可以透過下列方式一次大量選取尚未被指派授權的Office 365使用者帳號,然後選擇啟用使用者,如下圖:
選擇使用者所在的地區然後指派Office 365 授權後按下啟用即可完成使用者帳號的授權指派.
以上步供您參考
近期留言