Hvordan integrere ditt lokale Windows Server Active Directory med Windows Azure Active Directory, del 4: Directory Sync

  • Article

Her er en oversikt over alle delene av denne artiklen:

Directory sync

Etter at single sign-on fungerer kan vi gå videre med directory sync.

Forberedelser og krav

Du må ha følgende på plass for å kunne etablere synkronisering med WAAD:

  • En server som kan kjøre Directory Sync tool. Dette er en spesialtilpasset versjon av Forefront Identity Manager (FIM). Siden denne serveren kjører programvare som har store tilganger i ditt Active Directory bør den beskyttes på lik linje med domenekontrollerne. Maskinen som skal kjøre Directory Sync tool har følgende krav:
    • Må være medlem i ditt lokale Active Directory
    • Ikke være en domenekontroller
    • Må ha .NET Framework 3.x installert
    • Kunne kjøre PowerShell
    • Maskinvare tilpasset volumet av brukere du skal synkronisere. Se her for mer informasjon.
    • Directory Sync tool benytter en lokal installasjon av SQL Server 2008 Express. Har du mer enn 50 000 objekter som skal synkroniseres må du ha en full SQL Server 2008 eller 2008 R2 installasjon. Ser her for mer informasjon.
  • For å sette opp Directory Sync tool må du ha en konto som har følgende tilganger (disse kan, og må, være ulike kontoer):
    • Administratorrettigheter på Directory Sync tool serveren
      Dette er nødvendig for å kunne installere directory sync tool og SQL på serveren.
    • Rettigheter i ditt lokale Active Directory
      Kontoen må ha Enterprise Admin tilgang i din Active Directory forest. Brukernavnet og passordet til denne kontoen blir kun brukt under oppsett og lagres ikke på disk eller i minne.
    • Rettigheter i din Windows Azure Active Directory tenant
      Kontoen må ha admin rettigheter i WAAD. I portalen er dette kjent som Global Administrator. Directory Sync tool lagrer denne kontoens brukernavn og passord. Du må oppdatere konfigurasjonen hvis disse endres.

Directory Sync tool oppretter en bruker kalt MSOL_AD_SYNC i Users mappen i ditt lokale Active Directory. Denne kontoen benyttes til å lese informasjon fra Active Directory og kopiere den over i directory sync tool databasen før den synkroniseres til Windows Azure AD. Denne kontoen må ikke flyttes ut av Users mappen, eller endres på annen måte.

Microsoft Deployment Readiness Tool som vi benyttet for å sjekke at alt var klart for å sette opp singel sign-on sjekker også om alt er klart for directory sync. Hvis du ikke allerede har kjørt dette verktøyet bør du gjøre det nå og se igjennom rapporten. Denne viser deg bla hvor mange objekter som vil bli synkronisert.

Oppsett

I dette tilfellet har vi satt opp en egen Windows Server 2012 maskin for å kjøre Directory Sync tool. Etter at denne serveren er installert ser topologien vår slik ut:

clip_image001

Her er trinnene som må utføres for å etablere Directory sync:

Aktiver Directory Sync i Windows Azure AD portalen

  1. Logg på portalen, velg Integration, Directory sync og trykk Activate.
    clip_image002
    Du får følgende advarsel om at ditt lokale Active Directory nå blir autoritativ kilde for nesten all brukerdata i Windows Azure AD, og at informasjon fra ditt lokale AD evt vil overskrive data i Windows Azure AD. Trykk Activate.
    clip_image003
    Prosessen med å aktiver directory sync for ditt Windows Azure AD starter og portalen vil endre status når det er fullført. Det kan ta inntil 24 timer før aktiveringen er fullført. Du vil ikke kunne gå videre i denne guiden før directory sync er aktivert i Windows Azure AD.

Installer Directory Sync tool

  1. Logg på directory sync serveren og last ned Directory Sync tool
    Link til denne finner du under Deploy headingen i portalen, eller bruk denne linken.
  2. Kjør dirsync.exe
    (Hvis du ennå ikke har installert .NET Framework, kjøre denne PowerShell kommandoen:  Add-WindowsFeature NET-Framework-Core.)
  3. Følg Directory Sync tool installasjonsveiviseren, og velg å starte Directory Sync Configuration Wizard når installasjonen er ferdig.
  4. Følg Directory Sync konfigurasjonsveiviseren
    1. Du må angi to sett med brukernavn og passord. Et for å koble til Windows Azure AD og et for å koble til ditt lokale AD:
      Microsoft Online
      image
      MERK: Dette brukernavnet og passordet benyttes kontinuerlig av DirSync så hvis du bytter passord på kontoen du angir her så må du kjøre Directory sync konfigurasjonsveiviseren igjen.
      Lokalt Active Directory
      image
      MERK: Dette brukernavnet og passordet benyttes kun til å sette rettigheter i ditt lokale Active Directory for DirSync verktøyet og blir ikke lagret. Du trenger med andre ord ikke kjøre Directory sync konfigurasjonsveiviseren igjen hvis du endrer denne kontoen. Rettighetene vil allerede være satt.
    2. Velg om du skal kjøre Exchange hybrid deployment
      image
      MERK: Oppsett av Exchange hybrid er ikke tatt med i denne veiledningen. Hvis du ønsker å sette opp sameksistens også mellom din lokale Exchange-løsning og Exchange Online/Office 365 må du gjør det i tillegg til det som har blitt vist her. I så fall vil også Directory Sync tool skrive informasjon fra Windows Azure Active Directory tilbake til ditt lokale Active Directory (såkalt write back). Dette er nødvendig for at du skal kunne flytte postbokser fra Exchange Online tilbake til din egen Exchange-løsning (offboarding). Se her for mer informasjon:
      Email Coexistence
      Office 365 Deployment
    3. DirSync konfigureres
      image
    4. Velg å kjøre synkronisering nå
      image
      Dette vil tvinge en synkronisering umiddeblart. Sjekk Applikcation loggen på DirSync serveren for å se status.
  5. Logg på Windows Azure Active Directory portalen og se status på DirSync:
    image

Test og verifisering

Nå som dirsync er satt opp kan vi observere følgende:

  • Manuelt opprettede kontoer i Windows Azure Active Directory, med UPN fra domenet du har valgt å føderere, som er i konflikt med lokale kontoer, vil bli overskrevet av DirSync. Har du en bruker i ditt lokale AD med UPN user1@ateaedge.no og en manuelt opprettet bruker i Windows Azure Active Directory med samme UPN vil denne bli overskrevet.
  • Brukerkontoer fra domenet du har føderert, dvs de har UPN suffix likt ditt fødererte domene, vil ikke kunne endres i noen av portalene som benytter Windows Azure AD som identitesplatform. Alle endringer på disse brukerne må gjøres i ditt lokale AD og deretter synkroniseres til Windows Azure AD.
    image
  • Du vil nå ha to typer brukere i Windows Azure AD; synkroniserte og skybrukere. Dette vil vises litt forskjellig avhengig av hvilken portal du benytter:
    Office 365
    image
    Windows Azure AD:
    image

For å bekrefte at DirSync fungerer som den skal må vi teste både automatisk og tvungen synkronisering. Automatisk synkronisering foregår hver tredje (3) time som standard så her må vi bare vente til neste intervall. Tvungen synkronisering kan gjøres på to måter; vha DirSync konfigurasjonsveiviseren og via PowerShell. Forberedelsene til testen er like for både automatisk og tvungen synkronisering.

For å teste DirSync, enten tvungen eller automatisk synkronisering; gjør en endring på en bruker som synkroniseres i ditt lokale Active Directory. Du kan endre feks:

  • Fornavn
  • Etternavn
  • Visningsnavn
  • Jobtittel
  • Avdeling
  • Kontornummer
  • Kontortelefon
  • Faxnummer
  • Gateadresse
  • By
  • Postnummer
  • Land eller region

image

Gjennomfør tvungen synkronisering på en av måtene beskrevet under. (Hvis du ønsker å teste automatisk synkronisering må du vente minst tre timer fra tidspunket du endret den lokale brukeren på.)

PowerShell

  1. På serveren som kjøre Directory Sync tool, åpne Windows Explorer og gå inn i mappen %programfiles%\Microsoft Online Directory Sync.
  2. Dobbeltklikk DirSyncConfigShell.psc1 filen og vent til Windows PowerShell kommer opp. Dette nye PowerShell-konsollet har Directory Sync PowerShell cmdlets lastet.
  3. Kjør Start-OnlineCoexistenceSync.
    (Det kan være lurt å lage en snarvei til psc1-filen på skrivebordet.)

Konfigurasjonsveiviser

  1. På maskinen som kjører Directory Sync tool, klikk Start, klikk All Programs, klikk Microsoft Online Services, klikk Directory Synchronization, klikk så Directory Sync Configuration.
  2. Følg veiviseren og legg inn de nødvendige brukernavn og passord.
  3. På Finish siden, la valget i Synchronize directories now boksen stå, og trykk så Finish.

Logg på en av portalene som benytter Windows Azure AD, eller kjør MSOL PowerShell og se på brukeren du endret.

image

Directory Sync tool logger aktivitet i Application-loggen på serveren hvor det kjører. Kilden til hendelsene er Directory Synchronization. En hendelse med ID 4 og beskrivelsen The export has completed indikerer at en directory sync er fullført. ID 5 viser antall endrede objekter.

I neste, og siste, del skal vi se på feilsøking og hvordan hele løsningen fungerer sammen.