Топологии для Microsoft Entra Connect
В этой статье описываются различные локальные и Microsoft Entra топологии, использующие Microsoft Entra Connect Sync в качестве основного решения для интеграции. Здесь описываются и поддерживаемые, и неподдерживаемые конфигурации.
Ниже приведены условные обозначения для изображений в статье.
Описание | Символ |
---|---|
Локальный лес Active Directory |
![]() |
Локальная служба Active Directory с фильтрацией импорта |
![]() |
Сервер синхронизации Microsoft Entra Connect |
![]() |
Сервер синхронизации Microsoft Entra Connect "промежуточный режим" |
![]() |
GALSync с Microsoft Identity Manager (MIM) 2016 |
![]() |
Сервер синхронизации Microsoft Entra Connect, подробный |
![]() |
Microsoft Entra ID |
![]() |
Неподдерживаемый сценарий |
![]() |
Внимание
Корпорация Майкрософт не поддерживает изменение или операционную синхронизацию Microsoft Entra Connect за пределами конфигураций или действий, которые официально документированы. Любая из этих конфигураций или действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Connect. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.
Один лес, один клиент Microsoft Entra
Наиболее распространенная топология — это единый локальный лес с одним или несколькими доменами и одним клиентом Microsoft Entra. Для проверки подлинности Microsoft Entra используется синхронизация хэша паролей. Экспресс-установка Microsoft Entra Connect поддерживает только эту топологию.
Один лес, несколько серверов синхронизации с одним клиентом Microsoft Entra
Наличие нескольких серверов синхронизации Microsoft Entra Connect, подключенных к одному клиенту Microsoft Entra, не поддерживается, за исключением промежуточного сервера. Такая схема не поддерживается, даже если эти серверы настроены для синхронизации с взаимоисключающим набором объектов. Возможно, вы рассматривали такую топологию, если у вас нет доступа ко всем доменам леса с одного сервера или если требуется распределить нагрузку на несколько серверов. (При настройке нового сервера синхронизации Azure AD для нового леса Microsoft Entra и нового проверенного дочернего домена не возникают ошибки.)
Несколько лесов, один клиент Microsoft Entra
Во многих организациях есть среды, включающие несколько локальных лесов Active Directory. Есть разные причины существования нескольких локальных лесов Active Directory. Типичными примерами являются дизайны с лесами учетных записей и ресурсов, а также леса, появившиеся в результате слияния или поглощения.
При наличии нескольких лесов все леса должны быть доступны одним сервером синхронизации Microsoft Entra Connect. Компьютер должен быть присоединен к домену. Если необходимо получить доступ ко всем лесам, сервер можно разместить в приграничной сети (также известной как DMZ, демилитаризованная зона, и экранированная подсеть).
Мастер установки Microsoft Entra Connect предлагает несколько вариантов консолидации пользователей, представленных в нескольких лесах. Цель заключается в том, что пользователь представлен только один раз в идентификаторе Microsoft Entra. Есть несколько распространенных топологий, которые можно настроить в пользовательском пути установки в мастере установки. На странице Уникальная идентификация пользователей выберите вариант, соответствующий вашей топологии. Функция консолидации настроена только для пользователей. Повторяющиеся группы не объединяются с конфигурацией по умолчанию.
В следующем разделе описываются такие стандартные топологии, как отдельные топологии, полная сетка и топология ресурсов учетной записи.
Предполагается, что конфигурация по умолчанию в Microsoft Entra Connect Sync предполагает следующее:
- У каждого пользователя есть только одна включенная учетная запись. Лес, в котором располагается эта учетная запись, используется для проверки подлинности пользователя. Это предположение для синхронизации хэша паролей, сквозной аутентификации и федерации. Параметры UserPrincipalName и sourceAnchor/immutableID поступают из этого леса.
- У каждого пользователя есть только один почтовый ящик.
- Лес, в котором размещается почтовый ящик пользователя, характеризуется наилучшим качеством данных для атрибутов, видимых в глобальном списке адресов Exchange (GAL). Если у пользователя нет почтового ящика, для передачи значений этих атрибутов может использоваться любой лес.
- Если у вас есть связанный почтовый ящик, также существует учетная запись в другом домене, используемая для входа.
Если среда не соответствует этим предположениям, происходит следующее:
- Если у вас несколько активных учетных записей или несколько почтовых ящиков, модуль синхронизации выберет одну учетную запись или один почтовый ящик и проигнорирует остальные.
- Связанный почтовый ящик, не имеющий другой активной учетной записи, не экспортируется в Microsoft Entra ID. Учетная запись пользователя не представляется членом в любой группе. В DirSync связанный почтовый ящик всегда будет представлен как обычный почтовый ящик. Измененное поведение является намеренным и служит для поддержки сценариев с несколькими лесами.
Дополнительные сведения см. в статье Понимание конфигурации по умолчанию.
Несколько лесов, несколько серверов синхронизации с одним клиентом Microsoft Entra
Наличие нескольких серверов синхронизации Microsoft Entra Connect, подключенных к одному клиенту Microsoft Entra, не поддерживается. В порядке исключения можно использовать промежуточный сервер.
Эта топология отличается от следующей тем, что не поддерживается несколько серверов синхронизации, подключенных к одному клиенту Microsoft Entra. (Хотя это и не поддерживается, это по-прежнему работает.)
Несколько лесов, один сервер синхронизации, пользователи представлены только в одном каталоге
В этой среде все локальные леса рассматриваются как отдельные сущности. В любых других лесах пользователи отсутствуют. В каждом лесу есть своя организация Exchange, и между лесами отсутствует синхронизация GALSync. Такая топология может возникать в результате слияний и поглощений, а также в организации, в которой все подразделения функционируют независимо. Эти леса находятся в той же организации в Microsoft Entra ID и отображаются с унифицированным GAL. На предыдущем рисунке каждый объект в каждом лесу представлен один раз в метавселенной и агрегирован в целевом клиенте Microsoft Entra.
Несколько лесов: сопоставление пользователей
Для всех сценариев этого рода характерно то, что группы рассылки и группы безопасности могут состоять из пользователей, контактов и внешних субъектов безопасности. В доменных службах Active Directory (AD DS) используются представители служб лесной безопасности (FSP) для представления членов из других лесов в группе безопасности. Все FSP разрешаются в реальный объект в Microsoft Entra ID.
Несколько лесов: полная сетка с дополнительным решением GALSync
Топология полной сетки позволяет пользователям и ресурсам размещаться в любом лесу. Как правило, между лесами образуются двусторонние отношения доверия.
Если Exchange присутствует в нескольких лесах, опционально может быть локальное решение GALSync. Затем каждый пользователь представляется в виде контакта во всех остальных лесах. GALSync обычно реализуется с помощью Microsoft Identity Manager. Microsoft Entra Connect не может использоваться для локальной сети GALSync.
В этом сценарии объекты идентификации соединяются по атрибуту почты. Пользователь с почтовым ящиком в одном лесу объединяется с контактами в других лесах.
Несколько лесов: учетно-ресурсный лес
В топологии леса ресурсов учетной записи есть один или несколько лесов учетных записей с активными учетными записями пользователей. Вы также имеете один или несколько лесов ресурсов с отключенными учетными записями.
В этом сценарии один (или несколько) лес ресурсов доверяет всем лесам учетных записей. Обычно в лесу ресурсов используется расширенная схема Active Directory, включающая Exchange и Lync. Все службы Exchange и Lync, а также другие общие службы находятся в этом лесу. У пользователей есть отключенные учетные записи в этом лесу. С лесом учетных записей связан почтовый ящик.
Аспекты топологии в Microsoft 365
Некоторые рабочие нагрузки Microsoft 365 налагают ряд ограничений на поддерживаемые топологии.
Рабочая нагрузка | Ограничения |
---|---|
Exchange Online | Дополнительные сведения о гибридных топологиях, поддерживаемых Exchange Online, см. в разделе Гибридные развертывания в нескольких лесах Active Directory. |
Skype для бизнеса | При использовании нескольких локальных лесов поддерживается только топология ресурсного леса учетной записи. Дополнительные сведения см. в статье Требования к среде Skype для бизнеса Server 2015. |
Более крупным организациям рекомендуется использовать компонент Microsoft 365 PreferredDataLocation. Он позволяет определить, в каком регионе центра обработки данных расположены ресурсы пользователя.
промежуточного сервера
Microsoft Entra Connect поддерживает установку второго сервера в промежуточном режиме. Сервер в этом режиме считывает данные из всех подключенных каталогов, но не записывает ничего в подключенные каталоги. Он использует обычный цикл синхронизации и поэтому содержит обновленную копию данных удостоверения.
При сбое основного сервера можно переключиться на резервный сервер. Это можно сделать в мастере Microsoft Entra Connect. Второй сервер может находиться в другом центре обработки данных, так как он не делит инфраструктуру с основным сервером. Любые изменения конфигурации основного сервера следует вручную копировать на второй сервер.
Вы можете использовать промежуточный сервер, чтобы проверить новую пользовательскую конфигурацию и узнать, как она повлияет на данные. Вы можете просмотреть внесенные изменения и выполнить более точную настройку. Когда новая конфигурация будет завершена, вы сможете сделать промежуточный сервер активным и перевести старый сервер в промежуточный режим.
Этот метод также можно использовать для замены активного сервера синхронизации. Подготовьте новый сервер и переведите его в промежуточный режим. Убедитесь, что он работает правильно, и отключите промежуточный режим (сервер станет активным). Завершите работу текущего сервера.
Чтобы иметь несколько резервных копий в разных центрах обработки данных, можно использовать несколько промежуточных серверов.
Несколько клиентов Microsoft Entra
Рекомендуется использовать одного арендатора в Microsoft Entra ID для организации. Прежде чем планировать использование нескольких клиентов Microsoft Entra, см. статью "Управление административными единицами" в идентификаторе Microsoft Entra. Она охватывает общие сценарии, в которых можно использовать одного арендатора.
Синхронизация объектов AD с несколькими клиентами Microsoft Entra
Эта топология реализует следующие варианты использования.
- Microsoft Entra Connect может синхронизировать пользователей, группы и контакты из одного Active Directory с несколькими клиентами Microsoft Entra. Эти клиенты могут находиться в разных средах Azure, таких как Microsoft Azure, управляемый средой 21Vianet или средой Azure для государственных организаций, но они также могут находиться в одной среде Azure, например в двух клиентах, которые оба находятся в коммерческой среде Azure. Дополнительные сведения о параметрах см. в разделе Планирование удостоверений для приложений Azure Government.
- Одну и ту же привязку источника можно использовать для одного объекта в отдельных клиентах (но не для нескольких объектов в одном клиенте). (Проверяемый домен не может быть одинаковым у двух арендаторов. Для возможности присвоения одного объекта двум UPN необходимы дополнительные сведения.)
- Необходимо развернуть сервер Microsoft Entra Connect для каждого клиента Microsoft Entra, с которым вы хотите синхронизироваться. Один сервер Microsoft Entra Connect не может синхронизироваться с несколькими клиентами Microsoft Entra.
- Поддерживается возможность иметь разные области синхронизации и различные правила синхронизации для разных арендаторов.
- Для одного и того же объекта можно настроить синхронизацию только одного тенанта Microsoft Entra для обратной записи в Active Directory. К ним относятся обратная запись устройств и групп вместе с конфигурациями гибридного Exchange. Эти функции можно настроить только в одном клиенте. Единственным исключением является компонент обратной записи паролей — см. ниже.
- Поддерживается настройка синхронизации хэша паролей из Active Directory в несколько клиентов Microsoft Entra для одного и того же объекта пользователя. Если для клиента включена синхронизация хэша паролей, то компонент обратной записи паролей также может быть включен, причем на нескольких клиентах: при изменении пароля на одном клиенте компонент обратной записи паролей обновит его в Azure Active Directory, а синхронизация хэша паролей — в других клиентах.
- Не поддерживается добавление и проверка одного и того же имени личного домена в нескольких клиентах Microsoft Entra, даже если эти клиенты находятся в разных средах Azure.
- Не поддерживается настройка гибридных решений, использующих конфигурацию уровня леса в AD, таких как бесшовная единая аутентификация (Seamless SSO) и гибридное присоединение Microsoft Entra (всеобъемлющий подход), с более чем одним арендатором. Это может привести к перезаписи конфигурации другого клиента и сделать ее непригодной для использования. Дополнительные сведения см. в разделе "Планирование развертывания гибридного соединения Microsoft Entra".
- Объекты устройств можно синхронизировать с несколькими арендаторами, но устройство может быть Microsoft Entra гибридно присоединено только к одному арендатору.
- Каждый экземпляр Microsoft Entra Connect должен работать на компьютере, присоединенном к домену.
Примечание.
Синхронизация глобального списка адресов (GalSync) не выполняется автоматически в этой топологии и требует дополнительной пользовательской реализации MIM, чтобы гарантировать, что каждый клиент имеет полный глобальный список адресов (GAL) в Exchange Online и Skype для бизнеса Online.
Осуществление синхронизации GALSync с помощью обратной записи
Синхронизация GALSync с сервером синхронизации на месте
Вы можете использовать Microsoft Identity Manager локально для синхронизации пользователей (через GALSync) между двумя организациями Exchange. Пользователи из одной организации будут отображаться в другой организации как внешние пользователи или контакты. Затем различные экземпляры локальных сервисов Active Directory можно синхронизировать с их собственными клиентами Microsoft Entra.
Использование несанкционированных клиентов для доступа к серверной части Microsoft Entra Connect
Сервер Microsoft Entra Connect взаимодействует с Microsoft Entra ID через серверную часть Microsoft Entra Connect. Единственным программным обеспечением, которое можно использовать для взаимодействия с этой серверной частью, является Microsoft Entra Connect. Не поддерживается взаимодействие с серверной частью Microsoft Entra Connect с помощью любого другого программного обеспечения или метода.
Следующие шаги
Сведения о том, как установить Microsoft Entra Connect для этих сценариев, см. в статье "Настраиваемая установка Microsoft Entra Connect".
Дополнительные сведения о конфигурации синхронизации Microsoft Entra Connect.
Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.