مخطط «Azure AD Connect»

توضح هذه المقالة الطوبولوجيا المحلية المتعددة وطوبولوجيا Azure AD Connect التي تستخدم مزامنة Azure AD Connect كحل التكامل الأساسي. تتضمن هذه المقالة تكوينات معتمدة وغير معتمدة على حدٍ سواء.

إليك دليل فهم الصور في المقالة:

الوصف الرمز
غابة خدمات مجال Active Directory المحلي On-premises Active Directory forest
خدمات مجال Active Directory المحلي مع استيراد تمت تصفيته Active Directory with filtered import
خادم مزامنة Azure AD Connect Azure AD Connect sync server
خادم مزامنة Azure AD Connect «وضع التقسيم المرحلي» Azure AD Connect sync server “staging mode”
GALSync مع مدير الهوية Forefront Identity Manager 2010 أو مدير الهوية Microsoft Identity Manager 2016 GALSync with FIM 2010 or MIM 2016
خادم مزامنة Azure AD Connect، تفصيلي Azure AD Connect sync server, detailed
Microsoft Azure Active Directory Azure Active Directory
سيناريو غير معتمد Unsupported scenario

هام

لا تدعم Microsoft تعديل أو تشغيل مزامنة Azure AD Connect خارج التكوينات أو الإجراءات المُوثَقة رسميًا. قد ينتج عن أي من هذه التكوينات أو الإجراءات حالة غير متناسقة أو غير مدعومة من مزامنة Azure AD Connect. ونتيجة لذلك، لا يمكن أن توفر Microsoft الدعم التقني لمثل عمليات التوزيع هذه.

غابة واحدة، مستأجر واحد لـ«Microsoft Azure AD»

Topology for a single forest and a single tenant

المخطط الأكثر شيوعًا هي غابة محلية واحدة، بمجال واحد أو عدة مجالات، ومستأجر «Microsoft Azure AD» واحد. لمصادقة «Microsoft Azure AD»، يتم استخدام مزامنة تجزئة كلمة المرور. يدعم التثبيت السريع لـ«Azure AD Connect» هذا المخطط فقط.

غابة واحدة، خوادم مزامنة متعددة لمستأجر Azure AD واحد

Unsupported, filtered topology for a single forest

إن وجود عدة خوادم مزامنة Azure AD Connect المتصلة بمستأجر Azure AD نفسه أمر غير معتمد، باستثناء خادم التقسيم المرحلي. وهو غير معتمد حتى إذا تم تكوين هذه الخوادم للمزامنة مع مجموعة من العناصر الخاصة المتبادلة. ربما كنت قد فكرت في هذه الطوبولوجيا إذا لم تتمكن من الوصول إلى كافة المجالات في الغابة من خادم واحد، أو إذا كنت ترغب في توزيع التحميل عبر عدة خوادم.

الغابات المتعددة، مستأجر «Microsoft Azure AD» واحد

Topology for multiple forests and a single tenant

لدى العديد من المؤسسات بيئات بها غابات «Active Directory» محلي متعددة. هناك أسباب مختلفة لوجود أكثر من غابة «Active Directory» محلي. ومن الأمثلة النموذجية على ذلك التصميمات التي بها غابات ذات موارد حساب ونتيجة عملية دمج أو حصول.

عندما يكون لديك غابات متعددة، يجب أن تكون كافة الغابات قابلة للوصول بواسطة خادم مزامنة «Azure AD Connect» واحد. يجب أن يكون الخادم مربوطًا بمجال. إذا لزم الوصول إلى كافة الغابات، يمكنك وضع الخادم في شبكة مراقبة فرعية (تعرف أيضًا باسم منطقة ديميليتاريزيد (دمز) وشبكة مراقبة فرعية).

يقدم معالج تثبيت Azure AD Connect عدة خيارات لدمج المستخدمين الممثلين في غابات متعددة. الهدف هو أن يتم تمثيل مستخدم واحدة مرة واحدة فقط في Azure AD. هناك بعض الطوبولوجيا الشائعة التي يمكنك تكوينها في مسار التثبيت المخصص في معالج التثبيت. في الصفحة تحديد المستخدمين بشكل فريد، حدد الخيار المطابق الذي يمثل الطوبولوجيا الخاصة بك. لا يتم تكوين الدمج إلا للمستخدمين فقط. لا يتم دمج المجموعات المكررة باستخدام التكوين الافتراضي.

تتم مناقشة الطوبولوجيا الشائعة في الأقسام حول طوبولوجيا منفصلة والشبكة الكاملةوطوبولوجيا الموارد والحساب.

يفترض التكوين الافتراضي في مزامنة Azure AD Connect:

  • يكون لكل مستخدم حساب ممكّن واحد فقط، ويتم استخدام الغابة التي يوجد بها هذا الحساب لمصادقة المستخدم. هذا الافتراض هو لمزامنة تجزئة كلمة المرور ومصادقة المرور والاتحاد. UserPrincipalName وsourceAnchor/immutableID يأتيان من هذه الغابة.
  • لدى كل مستخدم علبة بريد واحدة فقط.
  • الغابة التي تستضيف علبة البريد لمستخدم لديه أفضل جودة بيانات للسمات المرئية في قائمة العناوين العمومية Exchange (GAL). إذا لم تكن هناك علبة بريد للمستخدم، يمكن استخدام أي غابة للمساهمة في قيم السمة هذه.
  • إذا كانت لديك علبة بريد مرتبطة، فهناك أيضًا حساب في غابة مختلفة تُستخدم لتسجيل الدخول.

إذا لم تتطابق البيئة الخاصة بك مع هذه الافتراضات، تحدث الأشياء التالية:

  • إذا كان لديك أكثر من حساب نشط واحد أو أكثر من علبة بريد، فإن محرك المزامنة يختار حسابًا ويتجاهل الآخر.
  • لا يتم تصدير علبة بريد غير مرتبطة مع أي حساب نشط آخر إلى Azure AD. حساب المستخدم غير ممثَّل كعضو في أي مجموعة. يتم دومًا تمثيل علبة بريد مرتبطة في DirSync كعلبة بريد عادية. هذا التغيير هو سلوك مختلف عن قصد لدعم سيناريوهات الغابات المتعددة بشكل أفضل.

يمكنك العثور على مزيد من التفاصيل في فهم التكوين الافتراضي.

غابات متعددة، وخوادم مزامنة متعددة لمستأجر Azure AD واحد

Unsupported topology for multiple forests and multiple sync servers

لا يتم اعتماد وجود أكثر من خادم مزامنة Azure AD Connect متصل بمستأجر Azure AD واحد. الاستثناء هو استخدام خادم التقسيم المرحلي.

تختلف هذه الطوبولوجيا عن تلك الموجودة أدناه في أن خوادم المزامنة المتعددة المتصلة بمستأجر Azure AD واحد غير معتمدة.

تمثل الغابات المتعددة، وخادم المزامنة الواحد والمستخدمون في دليل واحد فقط

Option for representing users only once across all directories

Depiction of multiple forests and separate topologies

وفي هذه البيئة، تعامل جميع الغابات المحلية ككيانات منفصلة. لا يوجد مستخدم موجود في أي غابة أخرى. كل غابة لها مؤسسة «Exchange» الخاصة بها، ولا يوجد «GALSync » بين الغابات. وقد يكون هذا المخطط الحالة بعد الاندماج/الحصول أو في أي مؤسسة تعمل فيها كل وحدة أعمال على حدة. هذه الغابات في نفس المؤسسة في «Microsoft Azure AD» وتظهر مع «GAL» موحد. في الصورة السابقة، يتم تمثيل كل كائن في كل غابة مرة واحدة في التمثيل الظاهري وتجميعها في مستأجر «Microsoft Azure AD» المستهدف.

الغابات المتعددة: مطابقة المستخدمين

الشائع لكافة هذه السيناريوهات هو أن مجموعات التوزيع والأمان يمكن أن تحتوي على خليط من المستخدمين وجهات الاتصال وأساسيات الأمان الخارجي (FSPs). يتم استخدام أساسيات الأمان الخارجي في خدمات مجال Active Directory لتمثيل أعضاء من الغابات الأخرى في مجموعة الأمان. يتم حل كافة أساسيات الأمان الخارجي إلى العنصر الحقيقي في Azure AD.

الغابات المتعددة: شبكة كاملة مع «GALSync» اختياري

Option for using the mail attribute for matching when user identities exist across multiple directories

Full mesh topology for multiple forests

يسمح مخطط شبكة كاملة للمستخدمين والموارد أن تتواجد في أي غابة. بشكل عام، هناك علاقات ثقة ثنائية الاتجاه بين الغابات.

إذا كان «Exchange» موجودًا في أكثر من غابة، فقد يكون هناك (اختياريًا) حل «GALSync» محلي. ثم يتم تمثيل كل مستخدم على أنه جهة اتصال في كافة الغابات الأخرى. يتم تطبيق «GALSync» بشكل عام من خلال «FIM 2010» أو «MIM 2016». لا يمكن استخدام «Azure AD Connect» لـ«GALSync» محلي.

في هذا السيناريو، يتم ربط عناصر الهوية عبر سمة البريد. يتم ربط مستخدم لديه علبة بريد في غابة واحدة مع جهات الاتصال في الغابات الأخرى.

الغابات المتعددة: غابات ذات موارد حساب

Option for using the ObjectSID and msExchMasterAccountSID attributes for matching when identities exist across multiple directories

Account-resource forest topology for multiple forests

في طوبولوجيا الغابات للموارد والحساب، لديك واحدة أو أكثر من غابات الحساب مع حسابات المستخدمين النشطة. لديك أيضًا واحدة أو أكثر من غابات الموارد مع حسابات معطلة.

في هذا السيناريو، تثق غابة موارد (أو أكثر) في كافة غابات الحساب. عادةً ما يكون لدى غابات الموارد مخطط "Active Directory" موسع مع «Exchange» و«Lync». تقع كافة خدمات «Exchange» و«Lync» جنبًا إلى جنب مع الخدمات المشاركة الأخرى في هذه الغابة. يكون لدى المستخدمين حساب مستخدم معطل في هذه الغابة، ويتم ربط علبة البريد بغابة الحساب.

اعتبارات Microsoft 365 والطوبولوجيا

بعض أحمال عمل Microsoft 365 لديها بعض القيود على طوبولوجيا معتمدة:

حمل العمل القيود
Exchange Online لمزيد من المعلومات حول طوبولوجيا مختلطة معتمدة من قبل Exchange Online، راجع عمليات التوزيع المختلطة مع غابات خدمات مجال Active Directory متعددة.
Skype for Business عندما تستخدم العديد من الغابات المحلية، يتم دعم طوبولوجيا الغابات للموارد والحساب فقط. لمزيد من المعلومات، راجع المتطلبات البيئية لـ Skype for Business Server 2015.

إذا كنت مؤسسة أكبر حجمًا، يجب عليك عندئذٍ أن تضع في الاعتبار استخدام ميزة Microsoft 365 PreferredDataLocation. فهي تسمح لك بتحديد منطقة مركز البيانات التي توجد فيها موارد المستخدم.

خادم التقسيم المرحلي

Staging server in a topology

يدعم Azure AD Connect تثبيت خادم ثانٍ في وضع التقسيم المرحلي. يقرأ أي خادم في هذا الوضع البيانات من كافة الدلائل المتصلة ولكن لا يكتب أي شيء إلى الدلائل المتصلة. ويستخدم دورة المزامنة العادية، ولذلك لديه نسخة محدثة من بيانات الهوية.

في حالة حدوث عطل فادح حيث تعطل الخادم الأساسي، يمكّنك الفشل من الوصول إلى خادم التقسيم المرحلي. يمكنك القيام بذلك في معالج Azure AD Connect. يمكن أن يوجد الخادم الثاني هذا في مركز بيانات مختلف لأنه لا توجد بنية أساسية مشتركة مع الخادم الأساسي. يجب أن تنسخ أي تغيير في التكوين يطرأ على الخادم الأساسي إلى الخادم الثاني يدويًا.

يمكنك استخدام خادم التقسيم المرحلي لاختبار تكوين مخصص جديد والتأثير الذي له على بياناتك. يمكنك معاينة التغييرات وضبط التكوين. عندما تكون سعيدًا بالتكوين الجديد، يمكنك جعل خادم التقسيم المرحلي هو الخادم النشط وتعيين الخادم النشط القديم إلى وضع التقسيم المرحلي.

يمكنك أيضًا استخدام هذا الأسلوب لاستبدال خادم المزامنة النشط. قم بإعداد الخادم الجديد وتعيينه إلى وضع التقسيم المرحلي. تأكد من أنه في حالة جيدة، وقم بتعطيل وضع التقسيم المرحلي (بجعله نشطًا)، وإيقاف تشغيل الخادم النشط حاليًا.

من الممكن أن يكون لديك أكثر من خادم تقسيم مرحلي واحد عندما تريد أن تكون لديك نسخ احتياطية متعددة في مراكز بيانات مختلفة.

حسابات مستأجري «Microsoft Azure AD» المتعددة

نوصي بوجود مستأجر واحد في Azure AD للمؤسسة الواحدة. قبل التخطيط لاستخدام مستأجرين عدة لـ Azure AD، راجع المقالة إدارة الوحدات الإدارية في Azure AD. فهو تغطي السيناريوهات الشائعة حيث يمكنك استخدام مستأجر واحد.

مزامنة كائنات AD مع العديد من مستأجري Azure AD

Diagram that shows a topology of multiple Azure A D tenants.

ينفذ هذا المخطط حالات الاستخدام التالية:

  • يمكن لـ AADConnect مزامنة نفس المستخدمين والمجموعات وجهات الاتصال من Active Directory واحد إلى العديد من مستأجري Azure AD. قد يكون هؤلاء المستأجرون في بيئات Azure مختلفة، مثل بيئة Azure China أو بيئة حكومة Azure، ولكن قد يكونوا أيضاً في نفس بيئة Azure كمستأجرين في Azure Commercial.
  • يمكن استخدام نفس ارتساء المصدر لكائن واحد في مستأجرين منفصلين (ولكن ليس لكائنات متعددة في نفس المستأجر)
  • يتعين عليك نشر خادم AADConnect لكل مستأجر Azure AD تريد المزامنة معه - لا يمكن لخادم AADConnect واحد المزامنة مع أكثر من مستأجر Azure AD.
  • وهو مدعوم لأن يكون لديه نطاقات مزامنة مختلفة وقواعد مزامنة مختلفة لمستأجرين مختلفين.
  • يمكن تكوين مزامنة مستأجر Azure AD واحدة فقط لإعادة الكتابة إلى Active Directory لنفس الكائن. وهذا يشمل إعادة كتابة الجهاز والمجموعة بالإضافة إلى تكوينات Exchange المختلطة - يمكن تكوين هذه الميزات في مستأجر واحد فقط. الاستثناء الوحيد هنا هو الكتابة الخلفية لكلمة المرور - انظر أدناه.
  • وهو مدعوم لتكوين مزامنة تجزئة كلمة المرور من Active Directory إلى العديد من مستأجري Azure AD لنفس كائن المستخدم. إذا تم تمكين مزامنة تجزئة كلمة المرور للمستأجر، فقد يتم تمكين الكتابة الخلفية لكلمة المرور أيضاً، ويمكن القيام بذلك على مستأجرين متعددين: إذا تم تغيير كلمة المرور على مستأجر واحد، فستقوم الكتابة الخلفية لكلمة المرور بتحديثها في Active Directory، وستقوم مزامنة تجزئة كلمة المرور بتحديث كلمة المرور في المستأجرين الآخرين.
  • لا يتم اعتماد إضافة نفس اسم المجال المخصص والتحقق منه في أكثر من مستأجر Azure AD، حتى إذا كان هؤلاء المستأجرون في بيئات Azure مختلفة.
  • لا يتم دعم تكوين التجارب المختلطة التي تستخدم تكوين مستوى الغابة في AD، مثل تسجيل الدخول الأحادي (SSO) السلس والتسجيل عبر Hybrid Azure AD (نهج غير مستهدف)، مع أكثر من مستأجر واحد. سيؤدي القيام بذلك إلى الكتابة على تكوين المستأجر الآخر وجعله غير قابل للاستخدام. يمكنك العثور على معلومات إضافية في تخطيط توزيع Azure Active Directory join.
  • يمكنك مزامنة عناصر الجهاز مع أكثر من مستأجر واحد ولكن يمكن أن يكون الجهاز مُسجل عبر Hybrid Azure AD لمستأجر واحد فقط.
  • يجب تشغيل كل مثيل Azure AD Connect على جهاز منضم إلى المجال.

ملاحظة

مزامنة قائمة العناوين العمومية (GalSync) لا تتم تلقائيًا في هذه الطوبولوجيا وتتطلب تطبيق MIM مخصصًا إضافيًا لضمان أن كل مستأجر لديه قائمة عناوين عمومية كاملة (GAL) في Exchange Online وSkype for Business Online.

GALSync باستخدام الحفظ مع التحديث

Unsupported topology for multiple forests and multiple directories, with GALSync focusing on Azure ADUnsupported topology for multiple forests and multiple directories, with GALSync focusing on on-premises Active Directory

GALSync مع خادم المزامنة المحلي

GALSync in a topology for multiple forests and multiple directories

يمكنك استخدام FIM 2010 أو MIM 2016 المحلي لمزامنة المستخدمين (عبر GALSync) بين منظمتي Exchange. يظهر المستخدمون في مؤسسة واحدة كمستخدمين/جهات اتصال أجنبية في المؤسسة الأخرى. يمكن بعدئذٍ مزامنة مثيلات Active Directory محلي المختلفة هذه مع مستأجري Azure AD الخاصين بهم.

استخدام عملاء غير مصرح لهم بالوصول إلى خلفية Azure AD Connect

Using unauthorized clients to access the Azure AD Connect backend

يتصل خادم Azure Active Directory Connect مع Azure Active Directory من خلال خلفية Azure Active Directory Connect. البرنامج الوحيد الذي يمكن استخدامه للاتصال مع هذه الخلفية هو Azure Active Directory Connect. لا يتم اعتماد الاتصال مع خلفية Azure Active Directory Connect باستخدام أي برنامج أو أسلوب آخر.

الخطوات التالية

لمعرفة كيفية تثبيت Azure AD Connect لهذه السيناريوهات، راجع التثبيت المخصص لـ Azure AD Connect.

تعرّف على المزيد حول تكوين مزامنة Azure AD Connect.

لمزيد من المعلومات حول تكامل هوياتك المحلية مع Azure Active Directory.