И так, Вы решили двигаться в сторону Microsoft Azure – поздравляю, отличный выбор!
Microsoft Azure настолько хорош, что я бы набил себе тату из этих двух слов. Но из не занятых мест осталось только лицо. А накладывать одно произведение искусства на другое дурной тон.
Итак, вы решили двигаться в сторону Microsoft Azure – поздравляю, от души! Ловите пошаговую инструкцию с чего начать и не благодарите.
Хорошее начало – полдела откачало. Поэтому сперва регистрируем тенант и добавляем доменное имя, после чего нужно мигрировать учетные данные (мы говорим про ситуацию, когда есть локальная Active Directory, которую в данный момент хотим сохранить).
Едем дальше и ровненько к IDFix (https://github.com/microsoft/idfix). Утилита IdFix позволяет просканировать вашу ADDS и найти пользователей, контакты или группы, которые не смогут по каким-то причинам синхронизироваться с Azure AD.
IdFix выявляет наиболее частые ошибки в атрибутах объектов Active Directory:
- Недопустимые символы в именах объектов AD (в том числе начальные и конечные пробелы);
- Дубликаты;
- Недопустимые SMTP адреса, ошибки в MailNickName;
- Объекты со значениями атрибутов, превышающими лимиты;
- Наличие корректных маршрутизируемых UPN суффиксов (userPrincipalName).
Когда все ошибки исправлены или критические ошибки не обнаружены (UPN суффиксы совпадают), можно приступать непосредственно к установке Azure AD Connect (https://www.microsoft.com/en-us/download/details.aspx?id=47594).
Системные требования – https://docs.microsoft.com/ru-ru/azure/active-directory/hybrid/how-to-connect-install-prerequisites
Сервер для установки может быть любой, но стронгли рекомендед избегать с установленной Active Directory.
Далее самое время пробежаться по инсталлятору:
Выбираем обязательно: Specify custom sync group, остальное по желанию:
Вводим пароль от Office365 тенанта:
Выбираем нужный\нужные домены:
Вводим логин и пароль учетной записи уровня Enterprise Administrator:
Проверяем домены и жмем далее:
Выбираем какой Organization Unit мы хотим синхронизировать в облако:
Потом все время далее:
В конце проверяем настройки и запускам синхронизации.
Далее на рабочем столе создаем ярлык:
%ProgramFiles%\Microsoft Azure AD Sync\UIShell\Miisclient.exe и смотрим за статусом синхронизации. Тут мы сможем увидеть статус и\или ошибки синхронизации.
И немного другая тема, если у Вас уже есть пользователи в облаке, и вы хотите их объединить.
- Сначала вам нужно выбрать нужных юзеров в локальной Active Directory:
$user = Get-ADUser -Filter 'Name -like "NAME"' - Затем вам нужно получить immutableId
$immutableid = [System.Convert]ToBase64String($user.ObjectGUID.tobytearray())
$immutableid - Затем со стороны Azure нужно установить immutableId для Azure AD пользователя
Set-AzureADUser -ObjectId -ImmutableId - И запустить повторно синхронизацию, либо дождаться ее автоматического старта
Start-ADSyncSyncCycle -PolicyType Delta
Конечно, это совсем легкое описание всех возможностей, но этого хватит для легкого старта.
Я привёл упрощенное описание возможностей, но даже этого вполне достаточно для лёгкого старта. Хотите большего – учите матчасть 🙂 Ну или спросите меня, лучше учиться на чужих ошибках, чем стесняться. Буду рад помочь. Мои контакты в разделе About.
Для тех, кто дочитал до конца и оценил эту мини-инструкцию бонус. Правда, пока не придумал, какой именно 🙂
Oleg Shalnov IT notes 