準備內部部署 Active Directory 進行目錄同步作業
在 Contoso 的 IT 員工部署 Microsoft Entra Connect 之前,必須先檢查內部部署 AD DS 與相關技術有哪些潛在的問題,以及任何先前曾經找到,但已予補救的問題。 這在將目錄同步作業實作為 Microsoft 365 的識別服務時尤為重要。
部署前的檢查
部署前的檢查應包括:
- 分析內部部署環境中的 AD DS 物件屬性中,是否有無效的字元,以及是否有不正確的使用者主體名稱 (UPN)。
- 執行網域電子郵件探索與使用者計數。
- 指出網域功能層級與結構描述延伸模組,以及正在使用的自訂屬性。
- 若您部署的 Microsoft Entra Connect 屬於 Microsoft 365 部署的一部分,必須識別 Microsoft Exchange 或商務用 Skype 的 Proxy 伺服器。
- 若您部署的 Microsoft Entra Connect 屬於 Microsoft 365 部署的一部分,必須識別 Microsoft SharePoint 網域。
- 評估用戶端的 SSO 整備程度。
- 記錄網路連接埠的使用狀況,以及 Office 365 相關的 DNS 記錄 (若您部署的 Microsoft Entra Connect 屬於 Office 365 部署的一部分)。
完成這些檢查之後,關鍵的補救工作包括:
- 移除重複的
proxyAddress與userPrincipalName屬性。 - 更新空白無效的
userPrincipalName屬性,並以有效的userPrincipalName屬性取而代之。 - 移除下列屬性中無效的字元:
givenName、surname (sn)、sAMAccountName、displayName、mail、proxyAddresses、mailNickname與userPrincipalName。
SSO 使用的 UPN 只可包含字母、數字、句點、虛線與底線,任何其他字元類型皆不得使用。
若要部署 Microsoft 365,且部署包含 SSO 的方案,應在 SSO 推出之前,確定 UPN 名稱符合此需求。SSO 與目錄同步作業使用的網域,必須能夠路由,亦即,您不得使用本機網域名稱,例如 Contoso.local。
Active Directory 健康狀態檢查工具
為使目錄同步作業能夠正常運作,必須確定內部部署 Active Directory 一切就緒無誤。 您可以使用下列 AD DS 健康狀態檢查工具,找出問題加以補救。
IdFix 工具
Microsoft 365 IdFix 工具可協助您找出 Active Directory 中大部分的物件同步錯誤加以補救。常見的問題包括是重複或格式錯誤的 proxyAddresses 與 userPrincipalName。
您可以選取 IdFix 所要檢查的 OU,也可以在工具內修正常見錯誤。 常見的錯誤可能包括編寫指令碼的使用者,在匯入至屬性 (例如 proxyAddresses 與 mailNickname) 期間所帶入的無效字元等問題。
若辨別名稱中包含格式與重複錯誤,IdFix 可能無法建議自動補救。 這類錯誤可以在 IdFix 之外修正,或是在 IdFix 中手動補救。
ADModify.NET 工具
對於格式問題等錯誤,可以使用 Active Directory 使用者和電腦中的 ADSIEdit 或進階模式,變更每個物件的特定屬性。 若要對變更多個物件的屬性,ADModify.NET 工具是較好的選擇。 這是因為 ADModify.NET 提供的批次模式作業,特別適合在 OU 或網域之間變更 UPN 等屬性。
延伸閱讀
若要深入了解,請檢閱下列文件。