Przygotowywanie lokalna usługa Active Directory do synchronizacji katalogów

Ukończone

Przed wdrożeniem przez pracowników DZIAŁU IT w firmie Contoso programu Microsoft Entra Connect niezbędne jest sprawdzenie lokalnych usług AD DS i powiązanych technologii pod kątem potencjalnych problemów oraz skorygowanie wykrytych problemów. Jest to szczególnie ważne, jeśli implementują synchronizację katalogów jako usługę tożsamości dla platformy Microsoft 365.

Testy przed wdrożeniem

Testy przed wdrożeniem powinny obejmować następujące elementy:

  • Analizowanie środowiska lokalnego pod kątem nieprawidłowych znaków w atrybutach obiektu usług AD DS oraz niepoprawnych głównych nazw użytkowników (UPN).
  • Wykonywanie odnajdywania poczty e-mail w domenie i liczby użytkowników.
  • Identyfikowanie poziomów funkcjonalności domeny i rozszerzeń schematu oraz identyfikowanie używanych atrybutów niestandardowych.
  • Identyfikowanie serwerów proxy używanych na potrzeby programu Microsoft Exchange lub Skype dla firm, jeśli wdrożysz program Microsoft Entra Connect w ramach wdrożenia platformy Microsoft 365.
  • Identyfikowanie domen programu Microsoft SharePoint, jeśli wdrażasz program Microsoft Entra Connect w ramach wdrożenia platformy Microsoft 365.
  • Ocenianie klienta pod kątem gotowości do logowania jednokrotnego.
  • Rejestrowanie użycia portów sieciowych i rekordów DNS związanych z usługą Office 365 (jeśli wdrożysz program Microsoft Entra Connect w ramach wdrożenia usługi Office 365).

Po zakończeniu tych testów kluczowe zadania korygowania obejmują:

  • Usuwanie duplikatów proxyAddress i userPrincipalName atrybutów.
  • Aktualizowanie pustych i nieprawidłowych userPrincipalName atrybutów oraz zastępowanie prawidłowymi userPrincipalName atrybutami.
  • Usuwanie nieprawidłowych znaków w następujących atrybutach: givenName, , sAMAccountNamesurname (sn), displayName, proxyAddressesmail, , mailNickname, i userPrincipalName.

Nazwy UPN używane do logowania jednokrotnego mogą zawierać litery, cyfry, kropki, kreski i podkreślenia; żadne inne typy znaków nie są dozwolone.

Jeśli wdrażasz platformę Microsoft 365, a wdrożenie obejmuje plany logowania jednokrotnego, przed wdrożeniem logowania jednokrotnego upewnij się, że nazwy UPN spełniają to wymaganie. Domeny używane do synchronizacji logowania jednokrotnego i katalogów muszą być routingowe, co oznacza, że nie można używać lokalnych nazw domen, takich jak Contoso.local.

Narzędzia do sprawdzania kondycji usługi Active Directory

Aby synchronizacja katalogów działała prawidłowo, należy upewnić się, że lokalna usługa Active Directory jest dobrze przygotowana i bezpłatna. Do identyfikowania i korygowania problemów można użyć następujących narzędzi do sprawdzania kondycji usług AD DS.

Narzędzie IdFix

Narzędzie Microsoft 365 IdFix umożliwia identyfikowanie i korygowanie większości błędów synchronizacji obiektów w usłudze Active Directory, w tym typowe problemy, takie jak zduplikowane lub źle sformułowane proxyAddresses i userPrincipalName.

Możesz wybrać jednostki organizacyjne, które mają być sprawdzane przez identyfikator, i możesz naprawić typowe błędy w samym narzędziu. Typowe błędy mogą obejmować problemy, takie jak nieprawidłowe znaki, które mogły zostać wprowadzone podczas importowania skryptu użytkownika do atrybutów, takich jak proxyAddresses i mailNickname.

W przypadku nazw wyróżniających zawierających błędy formatowania i duplikatów identyfikatora może nie być w stanie sugerować automatycznego korygowania. Takie błędy można naprawić poza identyfikatorem lub ręcznie skorygować w identyfikatorze IdFix.

ADModify.NET narzędzie

W przypadku błędów, takich jak problemy z formatem, można wprowadzić zmiany w określonych atrybutach object-by-object przy użyciu funkcji ADSIEdit lub Trybu zaawansowanego w Użytkownicy i komputery usługi Active Directory. Jednak aby wprowadzić zmiany atrybutów w wielu obiektach, ADModify.NET jest lepszym narzędziem. Jest to spowodowane tym, że operacja trybu wsadowego zapewniana przez ADModify.NET program jest szczególnie przydatna do wprowadzania zmian w atrybutach, takich jak nazwy UPN w jednostkach organizacyjnych lub domenach.

Materiały uzupełniające

Aby dowiedzieć się więcej, zapoznaj się z następującym dokumentem.