Интеграция ваших служб каталогов Active Directory (AD) локально (и синхронизация) с Azure AD выполняется с использованием графического интерфейса управления Службой синхронизации или через PowerShell.
Существует два способа использования Azure AD локально – аутентификация с прокси (отправляет запрос аутентификации непосредственно в Azure AD) или синхронизация каталога, которая синхронизирует хеши паролей между локальным AD и Azure AD. В этом блоге мы рассмотрим, как настроить программное обеспечение Azure Active Directory Connect для синхронизации хешей паролей.
Мы рассмотрим, как настроить периодическую синхронизацию и также как использовать Azure AD Connect для принудительной синхронизации хеша пароля.
В двух словах, для принудительной синхронизации Azure AD с PowerShell требуется выполнить следующие шаги:
- Установить Azure Active Directory Connect
- Импортировать модуль PowerShell для ADSync
- Запустить cmdlet
Start-AdSyncSchedule, который считывает хеши паролей контроллера домена и синхронизирует их с Azure AD.
Если вы предпочитаете учиться с помощью видеороликов, обязательно посмотрите этот информативный видеоролик TechSnips.
Установите Azure AD Connect
Чтобы синхронизировать локальный Active Directory с арендатором Azure AD, вам сначала нужно будет скачать и установить программное обеспечение Azure AD Connect. Для этого у вас есть два варианта. Вы можете скачать его либо с портала Azure, либо перейдя непосредственно к пакету программного обеспечения.
Скачивание с портала Azure
Если вы решили не загружать пакет с веб-сайта Microsoft, вам нужно будет получить пакет с портала Azure.
Найдите “Azure Active Directory” на портале. В разделе Azure Active Directory перейдите на страницу Azure AD Connect. Здесь вы найдете раздел Статус синхронизации со ссылкой на Скачать Azure AD Connect.
Инструменты синхронизации
При установке Azure AD Connect будут установлены два основных инструмента, которые можно использовать для планирования синхронизации или принудительной синхронизации.
- Модуль PowerShell ADSync
- Менеджер службы синхронизации
Используя эти два инструмента, вы можете настроить регулярную (по расписанию) синхронизацию для рутиное выпонения синхронизации Azure AD. Или же вы можете использовать любой из них для принудительной синхронизации по необходимости. Оба инструмента выполняют одно и то же действие. Единственное различие заключается в том, что один работает через командную строку (PowerShell), а другой – в виде GUI-приложения.
Настройка модуля PowerShell ADSync
При установке Azure AD Connect будет установлен модуль PowerShell с именем ADSync. Этот модуль содержит команды, позволяющие управлять процессом синхронизации с помощью PowerShell.
Обратите внимание, что в этой статье я использую Windows PowerShell 5.1. Ваш опыт может отличаться, если вы используете более старую версию.
Как и в случае со всеми модулями PowerShell, импорт модуля прост и понятен. Однако модуль находится не в известной папке модулей Windows PowerShell. Установка размещает модуль PowerShell в папке C:\Program Files\Microsoft Azure AD Connect Sync\Bin.
Чтобы импортировать модуль, откройте консоль PowerShell и введите следующее:
Чтобы убедиться, что модуль импортирован, используйте команду Get-Module. Вы должны увидеть модуль ADSync в списке.
Расписание синхронизации Azure AD по умолчанию
По умолчанию Azure AD Connect создает запланированную задачу, которая выполняет синхронизацию delta (синхронизацию только отличающихся объектов) каждые 30 минут. Вы можете найти расписание, открыв Планировщик задач. Вы должны заметить запланированную задачу в разделе Microsoft –> Windows с именем Azure AD Sync Scheduler.
Вы можете изменить это расписание, но помните, что 30 минут – это минимальный интервал, поддерживаемый по умолчанию. Цель – установить интервал синхронизации так, чтобы изменения передавались достаточно часто. Если синхронизация слишком короткая, есть риск насыщения вашей сети.
Планировщик обрабатывает две задачи:
- Цикл синхронизации – Процесс импорта, синхронизации и экспорта изменений.
- Задачи обслуживания – Обновляет ключи и сертификаты для сброса пароля и Службу регистрации устройств (DRS). Он также очищает старые записи в журнале операций.
Сам планировщик всегда работает, но его можно настроить на выполнение только одной или ни одной из этих задач.
Принудительная синхронизация Azure AD Connect
Иногда может возникнуть необходимость принудительной синхронизации объектов. Например, если вам нужно иметь свой цикл синхронизации, вы можете отключить эту задачу в планировщике, но все равно запустить задачу обслуживания.
Чтобы использовать Azure Active Directory Connect для принудительной синхронизации пароля и другой информации, вы можете использовать либо Менеджер Службы Синхронизации, либо PowerShell.
Принудительная синхронизация с помощью Менеджера Службы Синхронизации
На сервере с установленным Azure AD Connect перейдите в меню “Пуск” и выберите AD Connect, затем Служба синхронизации.
С первого взгляда это может показаться сложным, но вас интересует только вкладка Подключения и правая панель выбора. Просмотрев правую панель, вы увидите опции остановки (Остановить) и запуска (Запустить) синхронизации.
Обратите внимание, что во время выполнения цикла синхронизации нельзя вносить изменения в конфигурацию. Остановка текущего цикла не является вредной и отложенные изменения обрабатываются при следующем запуске.
Получение статуса синхронизации с помощью PowerShell
Прежде чем вынудить синхронизацию, полезно получить статус текущего цикла синхронизации. Если вы вынудите синхронизацию во время уже запущенного процесса, это может вызвать проблемы впоследствии.
Чтобы увидеть текущие настройки, откройте консоль PowerShell на сервере, на котором установлен Azure Active Directory Connect, и выполните команду Get-ADSyncScheduler. Вы увидите несколько свойств, каждое из которых предоставляет полезную информацию.
Get-AdSyncSchedulerЕсть немало информации для анализа. Рассмотрим построчно:
AllowedSyncCycleInterval– Это минимальный интервал между синхронизациями. По умолчанию установлено 30 минут, самый короткий допустимый интервал.CurrentlyEffectiveSyncCycleInterval– Расписание, которое в настоящее время действует. Оно имеет тот же интервал, что иCustomizedSyncInterval(если установлен), если он не чаще, чемAllowedSyncInterval. Если вы используете сборку до версии 1.1.281 и изменяетеCustomizedSyncCycleInterval, это изменение вступает в силу после следующего цикла синхронизации. С версии 1.1.281 изменение вступает в силу немедленно.CustomizedSyncCycleInterval– Устанавливается, если вы хотите, чтобы планировщик выполнялся с частотой, отличной от стандартных 30 минут.NextSyncCyclePolicyType– Этот параметр определяет, что должно обработать следующее выполнение. Если следующий запуск представляет собой полную синхронизацию, то сначала он будет отображаться.NextSyncCycleStartTimeInUTC– Это время, когда планировщик запускает следующий цикл синхронизации.PurgeRunHistoryInterval– Установите, как долго хранятся журналы операций. По умолчанию журналы хранятся в течение 7 дней.SyncCycleEnabled– Указывает, запущены ли процессы импорта, синхронизации и экспорта как часть его работы.MaintenanceEnabled– Включенное обслуживание обновляет сертификаты/ключи и очищает журнал операций.StagingModeEnabled– Если включено, подавляется выполнение экспортов. синхронизации.SchedulerSuspended– Установите для временного блокирования работы планировщика.
Принудительная синхронизация с помощью PowerShell
Найдите утечки и небезопасные пароли в вашем каталоге Active Directory, проверив по списку паролей NCSC.
У вас есть несколько вариантов принудительной синхронизации. Вы можете либо принудительно выполнить полную синхронизацию, либо дельта-синхронизацию. Полная синхронизация проверяет все объекты в AD. Дельта-синхронизация проверяет и синхронизирует только изменения с момента последнего запуска.
Для начала полной синхронизации вы можете использовать командлет Start-AdSyncSyncCycle. Используйте параметр PolicyType, чтобы выбрать либо Full, либо Delta в зависимости от синхронизации, которую вы хотите запустить. Любой из этих методов принудительно синхронизирует AD для Office 365, учетных записей пользователей и все остальные атрибуты.
Остановка синхронизации
Если вы хотите остановить процесс синхронизации, вы также можете использовать командлет Stop-ADSyncSyncCycle.
Сводка
Независимо от того, выбираете ли вы использовать графический интерфейс или PowerShell, теперь вы должны знать различные способы использования инструмента Azure Active Directory Connect для планирования или принудительной синхронизации с вашей локальной средой Active Directory с Azure AD.