Förbereda lokal Active Directory för katalogsynkronisering

Slutförd

Innan IT-personal på Contoso distribuerar Microsoft Entra Connect är det viktigt att de kontrollerar den lokala AD DS och relaterade tekniker för potentiella problem, och eventuella problem som identifieras åtgärdas. Detta är särskilt viktigt om de implementerar katalogsynkronisering som en identitetstjänst för Microsoft 365.

Fördistributionskontroller

Fördistributionskontroller bör omfatta:

• Analysera den lokala miljön för ogiltiga tecken i AD DS-objektattribut och för felaktiga UPN-namn (User Principal Names).
• Utföra identifiering av domänens e-post och antalet användare.
• Identifiera domänfunktionella nivåer och schematillägg och identifiera anpassade attribut som används.
• Identifiera proxyservrar som används för Microsoft Exchange eller Skype för företag om du distribuerar Microsoft Entra Connect som en del av en Microsoft 365-distribution.
• Identifiera Microsoft SharePoint-domäner om du distribuerar Microsoft Entra Connect som en del av en Microsoft 365-distribution.
• Utvärdera klienten för SSO-beredskap.
• Registrera användning av nätverksportar och DNS-poster relaterade till Office 365 (om du distribuerar Microsoft Entra Connect som en del av en Office 365-distribution).

När du har slutfört dessa kontroller omfattar viktiga reparationsuppgifter:

• Ta bort dubblett proxyAddress och userPrincipalName attribut.
• Uppdaterar tomma och ogiltiga userPrincipalName attribut och ersätter med giltiga userPrincipalName attribut.
• Ta bort ogiltiga tecken i följande attribut: givenName, surname (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNicknameoch userPrincipalName.

UPN:er som används för enkel inloggning kan innehålla bokstäver, siffror, punkter, bindestreck och understreck. inga andra teckentyper tillåts.

Om du distribuerar Microsoft 365 och distributionen innehåller planer för enkel inloggning bör du se till att UPN-namn uppfyller detta krav innan enkel inloggning distribueras. Domäner som används för enkel inloggning och katalogsynkronisering måste vara dirigerbara, vilket innebär att du inte kan använda lokala domännamn, till exempel Contoso.local.

Hälsokontrollverktyg för Active Directory

För att katalogsynkroniseringen ska fungera korrekt måste du se till att lokal Active Directory är väl förberedd och felfri. Du kan använda följande AD DS-hälsokontrollverktyg för att identifiera och åtgärda problem.

IdFix-verktyget

Med Microsoft 365 IdFix-verktyget kan du identifiera och åtgärda de flesta objektsynkroniseringsfel i Active Directory, inklusive vanliga problem som duplicerade eller felaktiga proxyAddresses och userPrincipalName.

Du kan välja de organisationsenheter som du vill att IdFix ska kontrollera och du kan åtgärda vanliga fel i själva verktyget. Vanliga fel kan vara problem som ogiltiga tecken som kan ha introducerats under skriptanvändarimporter till attribut som proxyAddresses och mailNickname.

För unika namn som innehåller format- och duplicerade fel kanske IdFix inte kan föreslå en automatisk reparation. Sådana fel kan antingen åtgärdas utanför IdFix eller åtgärdas manuellt i IdFix.

ADModify.NET verktyg

För fel som formatproblem kan du göra ändringar i specifika attribut objekt för objekt med hjälp av ADSIEdit eller Avancerat läge i Active Directory - användare och datorer. Men att göra attributändringar för flera objekt ADModify.NET är ett bättre verktyg. Det beror på att batchlägesåtgärden som tillhandahålls av ADModify.NET är användbar för att göra ändringar i attribut som UPN mellan organisationsenheter eller domäner.

Mer att läsa

Läs mer i följande dokument.

• Förutsättningar för Microsoft Entra Connect.