Microsoft Entra Connect 的拓扑
本文介绍使用 Microsoft Entra Connect Sync 作为关键集成解决方案的各种本地和 Microsoft Entra 拓扑。 此外,介绍支持和不支持的配置。
下面是本文中的图片图例:
说明 | 符号 |
---|---|
本地 Active Directory 林 | |
包含筛选导入的本地 Active Directory | |
Microsoft Entra Connect Sync 服务器 | |
Microsoft Entra Connect Sync 服务器“暂存模式” | |
具有 Microsoft Identity Manager (MIM) 2016 的 GALSync | |
Microsoft Entra Connect Sync 服务器,详细说明 | |
Microsoft Entra ID | |
不支持的方案 |
重要
Microsoft 不支持在正式记录的配置或操作之外修改或操作 Microsoft Entra Connect 同步。 其中的任何配置或操作都可能会导致 Microsoft Entra Connect 同步出现不一致或不受支持状态。因此,Microsoft 无法提供这种部署的技术支持。
单个林、单个 Microsoft Entra 租户
最常见的拓朴是包含一个或多个域的单个本地林,以及单个 Microsoft Entra 租户。 Microsoft Entra 身份验证使用密码哈希同步。 Microsoft Entra Connect 的快速安装仅支持此拓扑。
单个林,多个同步服务器连接到一个 Microsoft Entra 租户
不支持多个 Microsoft Entra Connect 同步服务器连接到同一个 Microsoft Entra 租户(暂存服务器除外)。 即使将这些服务器配置为与一组互斥对象同步,也不支持这种拓扑。 如果无法从单个服务器连接到林中的所有域,或者想要将负载分布到多个服务器,则应该考虑这种拓扑。 (为新的 Microsoft Entra 林和新的已验证子域配置新的 Azure AD Sync 服务器时,不会出现任何错误。)
单个林、单个 Microsoft Entra 租户
许多组织具有包含多个本地 Active Directory 林的环境。 有多种原因导致出现多个本地 Active Directory 林。 典型示例是使用帐户资源林的设计,以及合并和收购之后采用的设计。
如果使用多个林,所有林必须可由单个 Microsoft Entra Connect 同步服务器访问。 服务器必须加入域。 如果需要访问所有林,可将服务器放在外围网络(也称为外围网络、外围安全区域或屏蔽子网)中。
Microsoft Entra Connect 安装向导提供多个选项用于合并多个林中显示的用户。 目标是一个用户只在 Microsoft Entra 中显示一次。 可以在安装向导的自定义安装路径中配置某些常见拓扑。 在“唯一标识你的用户”页上选择表示拓扑的相应选项。 只对用户配置合并。 复制的组不会与默认配置合并。
有关独立的拓扑、完整网格和帐户资源拓扑的部分讨论了常见拓扑。
Microsoft Entra Connect Sync 中的默认配置假定:
- 每个用户只有一个已启用的帐户并且此帐户所在的林用于对用户进行身份验证。 此假设针对的是密码哈希同步、直通身份验证和联合身份严重。 UserPrincipalName 和 sourceAnchor/immutableID 来自此林。
- 每个用户只有一个邮箱。
- 托管用户邮箱的林具有 Exchange 全局地址列表 (GAL) 中可见属性的最佳数据质量。 如果用户没有邮箱,则任何林都可以用于提供这些属性值。
- 如果有链接邮箱,则还有其他林中的某个帐户用于登录。
如果环境不符合这些假设,则会发生以下情况:
- 如果使用多个活动帐户或多个邮箱,同步引擎将选择其中一个并忽略其他帐户或邮箱。
- 没有其他活动帐户的链接邮箱不会导出到 Microsoft Entra。 用户帐户不会显示为任何组中的成员。 DirSync 中的链接邮箱始终显示为普通邮箱。 这项更改是有意而为的,目的是使用不同的行为来更好地支持多林方案。
可在了解默认配置中找到更多详细信息。
多个林,多个同步服务器连接到一个 Microsoft Entra 租户
不支持将多个 Microsoft Entra Connect Sync 服务器连接到单个 Microsoft Entra 租户。 使用 暂存服务器时例外。
此拓扑与下面的拓扑不同,不支持连接到单个 Microsoft Entra 租户的多个同步服务器。 (虽然不支持,但这仍然有效。)
多个林、单个同步服务器、用户仅在一个目录中表示
在此环境中,所有本地林都被视为独立的实体。 没有用户出现在任何其他林中。 每个林都有其自己的 Exchange 组织,并且林之间没有任何 GALSync。 合并/收购之后或者如果组织中的每个业务单位独立运营,可能会出现这种拓扑。 在 Microsoft Entra 中,这些林位于相同的组织中并与统一 GAL 一起出现。 在上图中,每个林中的每个对象会在 Metaverse 中出现一次,并在目标 Microsoft Entra 租户中聚合。
多个林:匹配用户
对于所有这些方案,一种常见情况是分发组和安全组可以包含用户、联系人和外部安全主体 (FSP) 的混合形式。 可在 Active Directory 域服务 (AD DS) 中使用 FSP 来表示安全组中来自其他林的成员。 在 Microsoft Entra ID 中,所有 FSP 解析为实际对象。
多个林:包含可选 GALSync 的完整网格
完整网格拓扑允许用户和资源位于任何林中。 通常,林之间建立了双向信任。
如果 Exchange 存在于多个林中,则可以选择使用本地 GALSync 解决方案。 这样,每个用户将表示为其他所有林中的联系人。 GALSync 通常是通过 Microsoft Identity Manager 实现的。 Microsoft Entra Connect 无法用于本地 GALSync。
在此方案中,标识对象通过 mail 属性进行联接。 一个林中具有邮箱的用户与其他林中的联系人进行联接。
多个林:帐户资源林
在帐户资源林拓扑中,有一个或多个包含活动用户帐户的 帐户 林。 此外,还有一个或多个包含已禁用帐户的 资源 林。
在此方案中,一个(或多个)资源林信任所有帐户林。 资源林通常包含装有 Exchange 和 Lync 的扩展 Active Directory 架构。 所有 Exchange 和 Lync 服务以及其他共享服务都位于此林中。 用户在此林中具有一个禁用的用户帐户,并且邮箱被链接到帐户林。
Microsoft 365 和拓扑注意事项
某些 Microsoft 365 工作负荷对支持的拓扑实施了某些限制:
工作负载 | 限制 |
---|---|
Exchange Online | 有关 Exchange Online 支持的混合拓扑的详细信息,请参阅具有多个 Active Directory 林的混合部署。 |
Skype for Business | 使用多个本地林时,只支持帐户资源林拓扑。 有关详细信息,请参阅 Skype for Business Server 2015 的环境要求。 |
如果是更大的组织,则应考虑使用 Microsoft 365 PreferredDataLocation 功能。 它允许你定义用户的资源位于哪个数据中心区域。
暂存服务器
Microsoft Entra Connect 支持以暂存模式安装第二个服务器。 使用此模式的服务器从所有已连接的目录读取数据,但不会向已连接的目录写入任何数据。 它使用普通的同步周期,因此具有标识数据的更新副本。
在主服务器发生故障的灾难事件中,可以故障转移到暂存服务器。 可以在 Microsoft Entra Connect 向导中执行此操作。 可将第二个服务器定位在不同的数据中心,因为没有基础结构与主服务器共享。 必须手动将主服务器上所做的任何配置更改复制到第二个服务器。
可以使用暂存服务器来测试新的自定义配置及其对数据造成的影响。 可以预览更改并调整配置。 如果满意新的配置,可让暂存服务器成为活动服务器,将旧的活动服务器设置为暂存模式。
还可以使用此方法替换活动的同步服务器。 准备新的服务器,并将其设置为暂存模式。 确保它处于良好状态、禁用暂存模式(使之成为活动服务器),然后关闭当前活动的服务器。
如果想要在不同的数据中心拥有多个备份,也可以配置多个暂存服务器。
多个 Microsoft Entra 租户
我们建议组织在 Microsoft Entra ID 中部署单个租户。 在计划使用多个 Microsoft Entra 租户之前,请参阅 Microsoft Entra ID 中的管理单元管理一文。 它涵盖了可以使用单个租户的常见方案。
将 AD 对象同步到多个 Microsoft Entra 租户
此拓扑实现以下用例:
- Microsoft Entra Connect 可以将用户、组和联系人从单个 Active Directory 同步到多个 Microsoft Entra 租户。 这些租户可以在不同的 Azure 环境中,例如由世纪互联运营的 Microsoft Azure 环境或 Azure 政府环境,但它们也可以在同一个 Azure 环境中,例如两个租户都在 Azure 商业版中。 有关选项的更多信息,请参阅 Azure 政府应用程序的计划标识。
- 同一个源定位标记可用于不同租户中的单个对象(但不能用于同一租户中的多个对象)。 (已验证的域在两个租户中不能相同。需要更多详细信息才能使同一对象具有两个 UPN。)
- 你将需要为每一个要同步到的 Microsoft Entra 租户都部署 Microsoft Entra Connect 服务器,一个 Microsoft Entra Connect 服务器无法同步到多个 Microsoft Entra 租户。
- 支持不同的租户有不同的同步范围和不同的同步规则。
- 只能将一个 Microsoft Entra 租户同步配置为写回到同一对象的 Active Directory。 这包括设备和组写回以及混合 Exchange 配置,这些功能只能在一个租户中配置。 这里唯一的例外是密码写回(见下文)。
- 支持将密码哈希同步从 Active Directory 配置到同一用户对象的多个 Microsoft Entra 租户。 如果为某个租户启用了密码哈希同步,则也可以启用密码写回,并且可针对多个租户完成此操作:如果在一个租户上更改了密码,则密码写回将会在 Active Directory 中更新该密码,并且密码哈希同步将会更新其他租户中的密码。
- 不支持在多个 Microsoft Entra 租户中添加和验证相同的自定义域名,即使这些租户位于不同的 Azure 环境中也是如此。
- 不支持在具有多个租户的情况下配置在 AD 中使用林级别配置的混合体验,例如无缝 SSO 和 Microsoft Entra 混合联接(非目标性方法)。 这样做会覆盖其他租户的配置并使其无法再使用。 可以在计划 Microsoft Entra 混合联接部署中找到其他信息。
- 可以将设备对象同步到多个租户,但一台设备只能与一个租户建立 Microsoft Entra 混合联接。
- 每个 Microsoft Entra Connect 实例都应在加入域的计算机上运行。
注意
全局地址列表同步 (GalSync) 未在此拓扑中自动执行,需要其他自定义 MIM 实现,以确保每个租户在 Exchange Online 和 Skype for Business Online 中具有完整的全局地址列表 (GAL)。
使用写回的 GALSync
使用本地同步服务器的 GALSync
可以在本地使用 Microsoft Identity Manager 在两个 Exchange 组织之间同步用户(通过 GALSync)。 一个组织中的用户显示为另一组织中的外部用户/联系人。 这些不同的本地 Active Directory 实例可与其自身的 Microsoft Entra 租户同步。
使用未经授权的客户端访问 Microsoft Entra Connect 后端
Microsoft Entra Connect 服务器通过 Microsoft Entra Connect 后端与Microsoft Entra ID 通信。 唯一可用于与此后端进行通信的软件是 Microsoft Entra Connect。 不支持使用任何其他软件或方法与 Microsoft Entra Connect 后端通信。
后续步骤
若要了解如何为这些方案安装 Microsoft Entra Connect,请参阅 Microsoft Entra Connect 的自定义安装。
详细了解 Microsoft Entra Connect Sync 配置。
详细了解如何将本地标识与 Microsoft Entra ID 集成。