【AAD Connect】01:AAD Connect把本地AD账户同步到Office365(AD域账户迁移)
前言随着微软office365的高速发展,众多企业都开始了数字化转型,环境系统:windows server 2012 R2(域控服务器)软件:Microsoft Azure Active Directory Connect(本地安装)O365:AAD同步步骤一、在域服务器中安装AAD Connect1、下载Microsoft Azure Active Directory Connect2、安装并
前言
现在很多企业都会遇到把本地AD账号同步到Office365上,接下来就和大家一起了解一下,如果通过AAD Connect来进行同步操作
【AAD Connect】01:AAD Connect把本地AD账户同步到Office365(AD域账户迁移)
【AAD Connect】02:本地AD账户同步到O365报错:DirectoryReplicationServices.DrsException: RPC Error 8453复制访问被拒绝
【AAD Connect】03:使用AAD Connect同步到Office365时的同步规则(AD账号同步到O365)
【AAD Connect】04:AD账户同步到O365报错:同步服务未运行,启动“ADSync”服务或Unable to connect to the Synchronization Service
【AAD Connect】05:通过AAD Connect疑难解答检查同步问题,以及根据提示如何解决问题(AD账户迁移到O365)
环境
系统:windows server 2012 R2(域控服务器)
软件:Microsoft Azure Active Directory Connect(本地安装)
O365:AAD
同步步骤
一、在域服务器中安装AAD Connect
1、下载Microsoft Azure Active Directory Connect
2、安装并配置Azure AD Connect
稍等片刻后会显示如下界面,勾选我同意,点击继续
选择“自定义”
安装所需的组件界面中,保持默认,点击“安装”
在“用户登录”界面选择“密码哈希同步”,点击“下一步”
在“连接到Azure AD” 界面,属于O365管理员账号,点击“下一步”
点击下一步后,系统会自动进行验证
在“连接目录”界面,点击“添加目录”
选择“使用现有的AD账号”,输入域用户名和密码,点击“确定”
注意:需要把lisi的账号在ADSI编辑器中设置权限
注意:域用户名不能使用域管理员账号,原因如下
从生成1.4.18.0 中,不能使用企业管理员帐户或域管理员帐户作为 Azure AD DS 连接器帐户。 当你选择 " 使用现有帐户" 时,如果你尝试输入企业管理员帐户或域管理员帐户,你将看到以下错误: "不允许对 AD 林帐户使用企业或域管理员帐户。 让 Azure AD Connect 创建帐户,或指定具有正确权限的同步帐户。 "
配置目录完成后,点击“下一步”
在“Azure AD登录”界面中,查看本地 Azure AD DS 中 (UPN) 域中的用户主体名称,这些 UPN 域已在 Azure AD 中进行了验证。
查看标记为 " 未添加 " 或 " 未验证" 的每个域。 请确保已在 Azure AD 中验证你使用的域。 验证域后,选择 "循环刷新" 图标。
其他知识点:有关UPN可以在AD域和信任关系中进行设置,如下(可跳过)
3、按照“未验证”状态进行同步(在AAD中没有添加自定义,同步后会保持office365默认域名)
有关域名的申请、AAD中添加自定义域名、AAD Connect中配置自定义域名请关注后期博文
微软官网对如下三种状态进行了相关说明,如下
Azure AD Connect 列出了为域定义的 UPN 后缀,并尝试在 Azure AD 中将其与自定义域进行匹配。 然后它会帮助你执行需要执行的相应操作。 Azure AD 登录页列出了为本地 Active directory 定义的 UPN 后缀,并根据每个后缀显示相应的状态。 状态值可以是下列其中一项:
| 状态 | 说明 | 所需操作 |
|---|---|---|
| 已验证 | Azure AD Connect 在 Azure AD 中找到匹配的已验证域。 此域的所有用户均可使用其本地凭据登录。 | 无需采取任何措施。 |
| 未验证 | Azure AD Connect 在 Azure AD 中找到了匹配的但未验证的自定义域。 如果域未验证,则在同步后此域的用户的 UPN 后缀将更改为默认的 .onmicrosoft.com 后缀。 | 在 Azure AD 中验证自定义域。 |
| 未添加 | Azure AD Connect 未找到对应于 UPN 后缀的自定义域。 如果未在 Azure 中添加域且域未进行验证,则此域的用户的 UPN 后缀将更改为默认的 .onmicrosoft.com 后缀。 | 添加和验证与 UPN 后缀相对应的自定义域。 |
基于此暂时不考虑“未验证”状态,会在Azure AD Connect配置界面,勾选“继续但不匹配以验证域的所有UPN后缀”,点击“下一步”
在“域/OU筛选”界面选择要同步的OU,点击下一步
在“标识用户”界面保持默认,点击“下一步”
在“筛选”界面,保持默认,点击“下一步”
在“可选功能”界面,保持默认,点击“下一步”
在“配置”界面,保持默认,点击“安装”
点击“安装”后,开始自动执行
配置完成后,如下
下来打来Azure AD admin center或Office 365 admin center看一下同步效果,已经同步成功了
试着用其中一个账号登录www.office.com,结果提示账号或密码错误(登录密码为AD域账号密码),就是说用户的密码没有同步过来
出现此问题可参考【AAD Connect】通过AAD Connect同步用户密码报错:DirectoryReplicationServices.DrsException: RPC Error 8453复制访问被拒绝
4、账号和密码全部同步后,试着用其中一个账号登录www.office.com,可以看到可以正常登录
说明:出现如上提示是因为没有给该用户分配license
至此,本地AD账户同步到Office365就操作完成了,如上步骤如有错漏,请大家及时指出,多谢
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
1
0- 0
已为社区贡献6条内容
所有评论(0)