Blog Address：https://blog.51cto.com/14669127

近几年来越来越多的企业先后把用户从本地Domain Controller 和Exchange服务器等平台都迁移到云端平台管理，为了方便管理员对实施方案的理解和部署实施的透明清晰化，这里分享一下相关经验，供大家学习和讨论。

本文以部署Azure AD Connect （免费的工具，包含在Azure 订阅中）作为用户同步到Azure AD的解决方案，它可以将On Premise的Active Directory与Azure AD集成，用户访问Cloud或者On Premise资源时提供公共标识从而提高用户的工作效率。

部署Azure AD Connect之前，需要考虑以下7个考量点：

1.      Azure AD

1)      你需要使用Azure Portal或者Office 365 Portal来管理Azure AD Connect

2)      Domain，需要添加和验证一个有效的domain，不能使用default domain （contoso.onmicrosoft.com）

3)      一个Azure AD默认是50 K Objects，当你verify domain时，objects limit会达到300 k objects，如果你在Azure AD中需要更多的Objects，需要提交ticket为微软放开限制。

2.      On-premise data

1)      在同步Azure AD和Office 365之前，建议使用IdFix来识别Active Directory中重复和格式化问题等错误

2)      确保Azure AD中启用了Sync Features

a.      On Premises：Azure AD Connect sync（sync engine）

b.      Azure AD：Azure AD Connect Sync Service

3.      On-Premises Active Directory

1)      AD Schema 版本和Forest functional level必须是Windows Server 2003以及以上版本

2)      如果你计划使用Password writeback，那么domain controller必须是Windows Server 2008 R2以及以上

3)      确保Azure AD使用的domain controller是可写入权限

4)      推荐启用Active Directory Recycle Bin

4.      Azure AD Connect Server

1)      Azure AD Connect不能安装在Small Business Server，必须是Windows Server 2012 standard或者以上，

2)      不推荐Azure AD Connect安装在Domain Controller上，需将部署Azure AD Connect的Server作为domain member

3)      如果部署ADFS，那么Server必须安装在Windows Server 2012以及以上版本

4)      如果部署ADFS，需要SSL Certificates以及配置，name resolution

5)      如果global admin启用了MFA，那么需要在浏览器的trusted site list里信任该URL

https://secure.aadcdn.microsoftonline-p.com

6)      （单项同步，非必要步骤）Microsoft建议加强Azure AD Connect Server，降低安全***

a.       Securing administrators groups

b.       Securing built-in administrator accounts

c.        Security improvement and sustainment by reducing attack surfaces

d.       Reducing the Active Directory attack surface 

5.      Azure AD Connect 需要的SQL Server

1)       Azure AD Connect 需要SQL Server Database用来存储identity data，我们也可以在部署时直接选用Express模式，会使用SQL Server Express做存储，有10 GB存储空间，可以管理100,000个objects。如果你需要管理更多的Directory objects，那么需要部署SQL Server（Microsoft SQL Server from 2012）

6.      Accounts

1)       Azure AD Global Administrator 账户

2)       Active Directory Admin on premise（Exchange Admin）

7.      Connectivity

1)       DNS服务器必须能够解析到on-premises Active Directory和Azure AD endpoints的名称。

2)       如果你的内部网有防火墙，需要在Azure AD连接服务器和你的域控制器之间打开端口

 

3)       Azure AD Connect 和 Azure AD通信协议和端口

 

部署Azure AD Connect 相关总结：

1.      部署Azure AD Connect之前，需要在Azure AD （Office 365） Add and verify Domain （同时也需要Godaddy进行相关配置），否则在配置Azure AD Connect时 sign in Azure AD 会失效。

 

2.      https://www.microsoft.com/en-us/download/details.aspx?id=47594 下载并安装Azure AD Connect

3.      如果你是single-forest domain并且使用Password hash synchronize作为身份验证，那么可以使用默认的Express settings进行安装和部署Azure AD Connect

 

4.      如果从On Premise Active Directory 同步用户+ attributes+organization时非全部同步，而是按照OU分批同步或者 user attribute 同步有特殊要求，那么需要在最终configure 步骤，取消勾选“start the synchronization process when Configuration completes”复选框

 

 

参考文章：

 

·       https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-ports

·       https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sync-recycle-bin

·       https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites

·       https://docs.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs

·       https://docs.microsoft.com/en-us/azure/active-directory/hybrid/tshoot-connect-connectivity