Topologie dla firmy Microsoft Entra Połączenie
W tym artykule opisano różne topologie lokalne i microsoft Entra, które używają usługi Microsoft Entra Połączenie Sync jako kluczowego rozwiązania integracji. W tym artykule omówiono konfiguracje obsługiwane i nieobsługiwane.
Oto legenda obrazów w artykule:
| opis | Symbol |
|---|---|
| Lokalny las usługi Active Directory |  |
| Lokalna usługa Active Directory z filtrowaną importem |  |
| Microsoft Entra Połączenie Sync Server |  |
| Microsoft Entra Połączenie Sync Server "tryb przejściowy" |  |
| GALSync z programem Microsoft Identity Manager (MIM) 2016 |  |
| Microsoft Entra Połączenie Sync Server, szczegółowe informacje |  |
| Microsoft Entra ID |  |
| Nieobsługiwany scenariusz |  |
Ważne
Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Połączenie Sync poza konfiguracjami lub akcjami, które zostały formalnie udokumentowane. Każda z tych konfiguracji lub akcji może spowodować niespójny lub nieobsługiwany stan usługi Microsoft Entra Połączenie Sync. W związku z tym firma Microsoft nie może zapewnić pomocy technicznej dla takich wdrożeń.
Pojedynczy las, pojedyncza dzierżawa firmy Microsoft Entra
Najczęstszą topologią jest jeden las lokalny z jedną lub wieloma domenami i jedną dzierżawą firmy Microsoft Entra. W przypadku uwierzytelniania w usłudze Microsoft Entra jest używana synchronizacja skrótów haseł. Instalacja ekspresowa firmy Microsoft Entra Połączenie obsługuje tylko tę topologię.
Jeden las, wiele serwerów synchronizacji z jedną dzierżawą firmy Microsoft Entra
Posiadanie wielu serwerów microsoft Entra Połączenie Sync połączonych z tą samą dzierżawą firmy Microsoft Entra nie jest obsługiwane, z wyjątkiem serwera przejściowego. Nie jest obsługiwane, nawet jeśli te serwery są skonfigurowane do synchronizacji z wzajemnie wykluczanym zestawem obiektów. Można rozważyć tę topologię, jeśli nie możesz uzyskać dostępu do wszystkich domen w lesie z jednego serwera lub jeśli chcesz rozłożyć obciążenie między kilka serwerów. (Nie występują błędy, gdy nowy serwer synchronizacji usługi Azure AD jest skonfigurowany dla nowego lasu firmy Microsoft Entra i nowej zweryfikowanej domeny podrzędnej).
Wiele lasów, jedna dzierżawa firmy Microsoft Entra
Wiele organizacji ma środowiska z wieloma lasami lokalna usługa Active Directory. Istnieją różne przyczyny posiadania więcej niż jednego lasu lokalna usługa Active Directory. Typowe przykłady to projekty z lasami zasobów kont i wynikiem fuzji lub przejęcia.
Jeśli masz wiele lasów, wszystkie lasy muszą być osiągalne przez jeden serwer microsoft Entra Połączenie Sync. Serwer musi być przyłączony do domeny. Jeśli jest to konieczne, aby uzyskać dostęp do wszystkich lasów, serwer można umieścić w sieci obwodowej (nazywanej również strefą DMZ, strefą zdemilitaryzowaną i podsiecią ekranowaną).
Kreator instalacji Połączenie firmy Microsoft oferuje kilka opcji konsolidacji użytkowników, którzy są reprezentowani w wielu lasach. Celem jest to, że użytkownik jest reprezentowany tylko raz w identyfikatorze Entra firmy Microsoft. Istnieje kilka typowych topologii, które można skonfigurować w niestandardowej ścieżce instalacji kreatora instalacji. Na stronie Unikatowe identyfikowanie użytkowników wybierz odpowiednią opcję reprezentującą topologię. Konsolidacja jest skonfigurowana tylko dla użytkowników. Zduplikowane grupy nie są konsolidowane przy użyciu konfiguracji domyślnej.
Typowe topologie zostały omówione w sekcjach dotyczących oddzielnych topologii, pełnej siatki i topologii zasobów konta.
Domyślna konfiguracja w usłudze Microsoft Entra Połączenie Sync zakłada:
- Każdy użytkownik ma tylko jedno włączone konto, a las, w którym znajduje się to konto, jest używany do uwierzytelniania użytkownika. To założenie dotyczy synchronizacji skrótów haseł, uwierzytelniania przekazywanego i federacji. UserPrincipalName i sourceAnchor/immutableID pochodzą z tego lasu.
- Każdy użytkownik ma tylko jedną skrzynkę pocztową.
- Las hostujący skrzynkę pocztową użytkownika ma najlepszą jakość danych dla atrybutów widocznych na globalnej liście adresów programu Exchange (GAL). Jeśli użytkownik nie ma skrzynki pocztowej, każdy las może służyć do współtworzenia tych wartości atrybutów.
- Jeśli masz połączoną skrzynkę pocztową, istnieje również konto w innym lesie używanym do logowania.
Jeśli środowisko nie jest zgodne z tymi założeniami, zdarzają się następujące kwestie:
- Jeśli masz więcej niż jedno aktywne konto lub więcej niż jedną skrzynkę pocztową, aparat synchronizacji wybiera jedno i ignoruje drugą.
- Połączona skrzynka pocztowa bez innego aktywnego konta nie jest eksportowana do identyfikatora Entra firmy Microsoft. Konto użytkownika nie jest reprezentowane jako członek w żadnej grupie. Połączona skrzynka pocztowa w narzędziu DirSync jest zawsze reprezentowana jako normalna skrzynka pocztowa. Ta zmiana jest celowo innym zachowaniem, aby lepiej obsługiwać scenariusze z wieloma lasami.
Więcej szczegółów można znaleźć w artykule Opis konfiguracji domyślnej.
Wiele lasów, wiele serwerów synchronizacji z jedną dzierżawą firmy Microsoft Entra
Posiadanie więcej niż jednego serwera microsoft Entra Połączenie Sync połączonego z jedną dzierżawą firmy Microsoft Entra nie jest obsługiwane. Wyjątkiem jest użycie serwera przejściowego.
Ta topologia różni się od poniższej, że wiele serwerów synchronizacji połączonych z jedną dzierżawą firmy Microsoft Entra nie jest obsługiwane. (Chociaż nie jest to obsługiwane, nadal działa).
Wiele lasów, pojedynczy serwer synchronizacji, użytkownicy są reprezentowani tylko w jednym katalogu
W tym środowisku wszystkie lasy lokalne są traktowane jako oddzielne jednostki. Żaden użytkownik nie jest obecny w żadnym innym lesie. Każdy las ma własną organizację programu Exchange i nie ma narzędzia GALSync między lasami. Ta topologia może być sytuacją po fuzji/przejęciu lub w organizacji, w której każda jednostka biznesowa działa niezależnie. Te lasy znajdują się w tej samej organizacji w usłudze Microsoft Entra ID i są wyświetlane z ujednoliconym gal. Na powyższym obrazie każdy obiekt w każdym lesie jest reprezentowany raz w metaverse i agregowany w docelowej dzierżawie firmy Microsoft Entra.
Wiele lasów: dopasowanie użytkowników
Typowe dla wszystkich tych scenariuszy jest to, że dystrybucja i grupy zabezpieczeń mogą zawierać kombinację użytkowników, kontaktów i podmiotów zabezpieczeń zagranicznych (FSPS). Dostawcy usług konfiguracji są używane w usługach domena usługi Active Directory (AD DS) do reprezentowania elementów członkowskich z innych lasów w grupie zabezpieczeń. Wszystkie dostawcy usług konfiguracji są rozpoznawane jako rzeczywisty obiekt w identyfikatorze Entra firmy Microsoft.
Wiele lasów: pełna siatka z opcjonalną funkcją GALSync
Topologia pełnej siatki umożliwia użytkownikom i zasobom lokalizację w dowolnym lesie. Często istnieją dwukierunkowe relacje zaufania między lasami.
Jeśli program Exchange znajduje się w więcej niż jednym lesie, może istnieć (opcjonalnie) lokalne rozwiązanie GALSync. Każdy użytkownik jest wtedy reprezentowany jako kontakt we wszystkich innych lasach. Program GALSync jest często implementowany za pośrednictwem programu Microsoft Identity Manager. Nie można używać Połączenie firmy Microsoft w lokalnej technologii GALSync.
W tym scenariuszu obiekty tożsamości są przyłączane za pośrednictwem atrybutu poczty. Użytkownik, który ma skrzynkę pocztową w jednym lesie, jest przyłączony do kontaktów w innych lasach.
Wiele lasów: las zasobów konta
W topologii lasu zasobów konta masz co najmniej jeden las konta z aktywnymi kontami użytkowników. Masz również co najmniej jeden las zasobów z wyłączonymi kontami.
W tym scenariuszu co najmniej jeden las zasobów ufa wszystkim lasom kont. Las zasobów zwykle ma rozszerzony schemat usługi Active Directory z programem Exchange i lync. Wszystkie usługi programu Exchange i Lync, wraz z innymi usługami udostępnionymi, znajdują się w tym lesie. Użytkownicy mają wyłączone konto użytkownika w tym lesie, a skrzynka pocztowa jest połączona z lasem konta.
Zagadnienia dotyczące platformy Microsoft 365 i topologii
Niektóre obciążenia platformy Microsoft 365 mają pewne ograniczenia dotyczące obsługiwanych topologii:
| Obciążenie | Ograniczenia |
|---|---|
| Exchange Online | Aby uzyskać więcej informacji na temat topologii hybrydowych obsługiwanych przez usługę Exchange Online, zobacz Wdrożenia hybrydowe z wieloma lasami usługi Active Directory. |
| Skype dla firm | W przypadku korzystania z wielu lasów lokalnych obsługiwana jest tylko topologia lasu zasobów konta. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące środowiska dla Skype dla firm Server 2015. |
Jeśli jesteś większą organizacją, rozważ użycie funkcji PreferredDataLocation platformy Microsoft 365. Umożliwia zdefiniowanie regionu centrum danych, w którym znajdują się zasoby użytkownika.
Serwer przejściowy
Firma Microsoft Entra Połączenie obsługuje instalowanie drugiego serwera w trybie przejściowym. Serwer w tym trybie odczytuje dane ze wszystkich połączonych katalogów, ale nie zapisuje niczego w połączonych katalogach. Używa normalnego cyklu synchronizacji i dlatego ma zaktualizowaną kopię danych tożsamości.
W przypadku awarii, w której serwer podstawowy ulegnie awarii, można przejść w tryb failover na serwer przejściowy. Możesz to zrobić w kreatorze microsoft Entra Połączenie. Ten drugi serwer może znajdować się w innym centrum danych, ponieważ żadna infrastruktura nie jest współużytkowany z serwerem podstawowym. Należy ręcznie skopiować wszelkie zmiany konfiguracji wprowadzone na serwerze podstawowym na drugi serwer.
Możesz użyć serwera przejściowego, aby przetestować nową konfigurację niestandardową i wpływ na dane. Możesz wyświetlić podgląd zmian i dostosować konfigurację. Jeśli nowa konfiguracja jest szczęśliwa, możesz ustawić serwer przejściowy na aktywny serwer i ustawić stary aktywny serwer na tryb przejściowy.
Można również użyć tej metody, aby zastąpić aktywny serwer synchronizacji. Przygotuj nowy serwer i ustaw go na tryb przejściowy. Upewnij się, że jest w dobrym stanie, wyłącz tryb przejściowy (co czyni go aktywnym) i zamknij aktualnie aktywny serwer.
Istnieje możliwość posiadania więcej niż jednego serwera przejściowego, jeśli chcesz mieć wiele kopii zapasowych w różnych centrach danych.
Wiele dzierżaw firmy Microsoft Entra
Zalecamy posiadanie jednej dzierżawy w usłudze Microsoft Entra ID dla organizacji. Zanim planujesz używać wielu dzierżaw firmy Microsoft Entra, zobacz artykuł Administracja istrative units management in Microsoft Entra ID (Zarządzanie jednostkami Administracja istracyjnymi w usłudze Microsoft Entra ID). Obejmuje ona typowe scenariusze, w których można użyć jednej dzierżawy.
Synchronizowanie obiektów usługi AD z wieloma dzierżawami usługi Microsoft Entra
Ta topologia implementuje następujące przypadki użycia:
- Firma Microsoft Entra Połączenie może synchronizować użytkowników, grupy i kontakty z jednej usługi Active Directory do wielu dzierżaw firmy Microsoft Entra. Te dzierżawy mogą znajdować się w różnych środowiskach platformy Azure, takich jak platforma Microsoft Azure obsługiwana przez środowisko 21Vianet lub środowisko platformy Azure Dla instytucji rządowych, ale mogą również znajdować się w tym samym środowisku platformy Azure, takich jak dwie dzierżawy, które znajdują się zarówno w środowisku komercyjnym platformy Azure. Aby uzyskać więcej informacji na temat opcji, zobacz Planowanie tożsamości dla aplikacji platformy Azure Government.
- Tej samej kotwicy źródłowej można używać dla pojedynczego obiektu w osobnych dzierżawach (ale nie dla wielu obiektów w tej samej dzierżawie). (Zweryfikowana domena nie może być taka sama w dwóch dzierżawach. Aby włączyć ten sam obiekt, należy uzyskać więcej szczegółów, aby mieć dwie nazwy UPN).
- Należy wdrożyć serwer Microsoft Entra Połączenie dla każdej dzierżawy firmy Microsoft Entra, z którą chcesz przeprowadzić synchronizację — jeden serwer Microsoft Entra Połączenie nie może zsynchronizować się z więcej niż jedną dzierżawą firmy Microsoft Entra.
- Obsługiwane jest posiadanie różnych zakresów synchronizacji i różnych reguł synchronizacji dla różnych dzierżaw.
- Dla tego samego obiektu można skonfigurować tylko jedną synchronizację dzierżawy entra firmy Microsoft. Obejmuje to zapisywanie zwrotne urządzeń i grup, a także konfiguracje hybrydowego programu Exchange — te funkcje można skonfigurować tylko w jednej dzierżawie. Jedynym wyjątkiem jest zapisywanie zwrotne haseł — zobacz poniżej.
- Obsługiwane jest skonfigurowanie synchronizacji skrótów haseł z usługi Active Directory do wielu dzierżaw firmy Microsoft entra dla tego samego obiektu użytkownika. Jeśli synchronizacja skrótów haseł jest włączona dla dzierżawy, funkcja zapisywania zwrotnego haseł może być również włączona i można to zrobić w wielu dzierżawach: jeśli hasło zostanie zmienione w jednej dzierżawie, zapisywanie zwrotne haseł zaktualizuje je w usłudze Active Directory, a synchronizacja skrótów haseł zaktualizuje hasło w innych dzierżawach.
- Nie jest obsługiwane dodawanie i weryfikowanie tej samej niestandardowej nazwy domeny w więcej niż jednej dzierżawie firmy Microsoft Entra, nawet jeśli te dzierżawy znajdują się w różnych środowiskach platformy Azure.
- Nie jest obsługiwane konfigurowanie środowisk hybrydowych korzystających z konfiguracji na poziomie lasu w usłudze AD, takich jak bezproblemowe logowanie jednokrotne i przyłączanie hybrydowe firmy Microsoft Entra (podejście inne niż docelowe), z więcej niż jedną dzierżawą. Spowoduje to zastąpienie konfiguracji innej dzierżawy, dzięki czemu nie będzie już można jej używać. Dodatkowe informacje można znaleźć w temacie Planowanie wdrożenia dołączania hybrydowego firmy Microsoft Entra.
- Obiekty urządzeń można synchronizować z więcej niż jedną dzierżawą, ale urządzenie może być przyłączone hybrydą firmy Microsoft Entra tylko do jednej dzierżawy.
- Każde wystąpienie usługi Microsoft Entra Połączenie powinno być uruchomione na maszynie przyłączonej do domeny.
Uwaga
Globalna synchronizacja list adresów (GalSync) nie jest wykonywana automatycznie w tej topologii i wymaga dodatkowej niestandardowej implementacji programu MIM, aby upewnić się, że każda dzierżawa ma pełną globalną listę adresów (GAL) w usłudze Exchange Online i Skype dla firm Online.
GALSync przy użyciu zapisywania zwrotnego
GALSync z lokalnym serwerem synchronizacji
Lokalnego programu Microsoft Identity Manager można używać do synchronizowania użytkowników (za pośrednictwem programu GALSync) między dwiema organizacjami programu Exchange. Użytkownicy w jednej organizacji są wyświetlani jako zagraniczni użytkownicy/kontakty w innej organizacji. Te różne wystąpienia lokalna usługa Active Directory można następnie synchronizować z własnymi dzierżawami firmy Microsoft Entra.
Używanie nieautoryzowanych klientów do uzyskiwania dostępu do zaplecza usługi Microsoft Entra Połączenie
Serwer Microsoft Entra Połączenie komunikuje się z identyfikatorem Entra firmy Microsoft za pośrednictwem zaplecza usługi Microsoft Entra Połączenie. Jedynym oprogramowaniem, które może służyć do komunikowania się z tym zapleczem, jest microsoft Entra Połączenie. Nie jest obsługiwane komunikowanie się z zapleczem firmy Microsoft Połączenie przy użyciu jakiegokolwiek innego oprogramowania lub metody.
Następne kroki
Aby dowiedzieć się, jak zainstalować Połączenie firmy Microsoft dla tych scenariuszy, zobacz Niestandardowa instalacja usługi Microsoft Entra Połączenie.
Dowiedz się więcej o konfiguracji usługi Microsoft Entra Połączenie Sync.
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.