Топологии Azure AD Connect.Topologies for Azure AD Connect

В этой статье описываются различные локальные топологии и топологии Active Directory Azure (Azure AD), в которых служба синхронизации Azure AD Connect используется в качестве основного решения интеграции.This article describes various on-premises and Azure Active Directory (Azure AD) topologies that use Azure AD Connect sync as the key integration solution. Здесь описываются и поддерживаемые, и неподдерживаемые конфигурации.This article includes both supported and unsupported configurations.

Ниже приведены условные обозначения для изображений в статье.Here's the legend for pictures in the article:

ОписаниеDescription ЗнакSymbol
Локальный лес Active DirectoryOn-premises Active Directory forest Локальный лес Active Directory
Локальная служба Active Directory с фильтрацией импортаOn-premises Active Directory with filtered import Active Directory с фильтрацией импорта
Сервер синхронизации Azure AD ConnectAzure AD Connect sync server Сервер синхронизации Azure AD Connect
Промежуточный режим сервера синхронизации Azure AD ConnectAzure AD Connect sync server “staging mode” Промежуточный режим сервера синхронизации Azure AD Connect
GALSync с Forefront Identity Manager (FIM) 2010 или Microsoft Identity Manager (MIM) 2016GALSync with Forefront Identity Manager (FIM) 2010 or Microsoft Identity Manager (MIM) 2016 GALSync с FIM 2010 или MIM 2016
Сервер синхронизации Azure AD Connect, подробноAzure AD Connect sync server, detailed Сервер синхронизации Azure AD Connect, подробно
Azure ADAzure AD Azure Active Directory
Неподдерживаемый сценарийUnsupported scenario Неподдерживаемый сценарий

Важно!

Мы поддерживаем изменение или использование служб синхронизации Azure AD Connect только в контексте официально задокументированных конфигураций или действий.Microsoft doesn't support modifying or operating Azure AD Connect sync outside of the configurations or actions that are formally documented. Любые иные конфигурации или действия могут привести к несогласованному или неподдерживаемому состоянию служб синхронизации Azure AD Connect. Для таких развертываний Майкрософт не предоставляет техническую поддержку.Any of these configurations or actions might result in an inconsistent or unsupported state of Azure AD Connect sync. As a result, Microsoft can't provide technical support for such deployments.

Один лес, один клиент Azure ADSingle forest, single Azure AD tenant

Топология для одного леса и одного клиента

Стандартная топология — один локальный лес с одним или несколькими доменами и один клиент Azure AD.The most common topology is a single on-premises forest, with one or multiple domains, and a single Azure AD tenant. Для аутентификации Azure AD используется синхронизация хэша паролей.For Azure AD authentication, password hash synchronization is used. Экспресс-установка Azure AD Connect поддерживает только эту топологию.The express installation of Azure AD Connect supports only this topology.

Один лес, несколько серверов синхронизации в одном клиенте Azure ADSingle forest, multiple sync servers to one Azure AD tenant

Неподдерживаемая отфильтрованная топология для одного леса

Подключение нескольких серверов синхронизации Azure AD Connect (за исключением промежуточного сервера) к одному клиенту Azure AD не поддерживается.Having multiple Azure AD Connect sync servers connected to the same Azure AD tenant is not supported, except for a staging server. Такая схема не поддерживается, даже если эти серверы настроены для синхронизации с взаимоисключающим набором объектов.It's unsupported even if these servers are configured to synchronize with a mutually exclusive set of objects. Возможно, вы рассматривали такую топологию, если у вас нет доступа ко всем доменам леса с одного сервера или если требуется распределить нагрузку на несколько серверов.You might have considered this topology if you can't reach all domains in the forest from a single server, or if you want to distribute load across several servers.

Несколько лесов, один клиент Azure ADMultiple forests, single Azure AD tenant

Топология для нескольких лесов и одного клиента

Во многих организациях есть среды, которые включают несколько локальных лесов Active Directory.Many organizations have environments with multiple on-premises Active Directory forests. Есть разные причины существования нескольких локальных лесов Active Directory.There are various reasons for having more than one on-premises Active Directory forest. Типичными примерами являются проекты с лесами ресурсов учетных записей и лесами, появившимися в результате слияния или поглощения.Typical examples are designs with account-resource forests and the result of a merger or acquisition.

Если у вас есть несколько лесов, все они должны быть доступными для одного сервера синхронизации Azure AD Connect.When you have multiple forests, all forests must be reachable by a single Azure AD Connect sync server. Присоединять этот сервер к домену не обязательно.You don't have to join the server to a domain. Если необходимо получить доступ ко всем лесам, можно разместить сервер в сети периметра (также называется DMZ и промежуточной подсетью).If necessary to reach all forests, you can place the server in a perimeter network (also known as DMZ, demilitarized zone, and screened subnet).

Мастер установки Azure AD Connect предлагает несколько вариантов консолидации пользователей, представленных в нескольких лесах.The Azure AD Connect installation wizard offers several options to consolidate users who are represented in multiple forests. Каждый пользователь должен быть представлен в Azure AD только один раз.The goal is that a user is represented only once in Azure AD. Есть несколько распространенных топологий, которые можно настроить в режиме выборочной установки в мастере установки.There are some common topologies that you can configure in the custom installation path in the installation wizard. На странице Уникальная идентификация пользователей выберите вариант, соответствующий вашей топологии.On the Uniquely identifying your users page, select the corresponding option that represents your topology. Функция консолидации настроена только для пользователей.The consolidation is configured only for users. В конфигурации по умолчанию дубликаты групп не консолидируются.Duplicated groups are not consolidated with the default configuration.

В следующем разделе описываются такие стандартные топологии, как отдельные топологии, полная сетка и топология ресурсов учетной записи.Common topologies are discussed in the sections about separate topologies, full mesh, and the account-resource topology.

При стандартной конфигурации Azure AD Connect предполагается следующее.The default configuration in Azure AD Connect sync assumes:

  • У каждого пользователя есть только одна включенная учетная запись. Лес, в котором располагается эта учетная запись, используется для проверки подлинности пользователя.Each user has only one enabled account, and the forest where this account is located is used to authenticate the user. Это предполагается при использовании синхронизации хэша паролей, сквозной аутентификации и федерации.This assumption is for password hash sync, pass-through authentication and federation. Параметры UserPrincipalName и sourceAnchor/immutableID поступают из этого леса.UserPrincipalName and sourceAnchor/immutableID come from this forest.
  • У каждого пользователя есть только один почтовый ящик.Each user has only one mailbox.
  • Лес, в котором размещаются почтовые ящики пользователей, характеризуется наилучшим качеством данных для атрибутов, отображаемых в глобальном списке адресов Exchange (GAL).The forest that hosts the mailbox for a user has the best data quality for attributes visible in the Exchange Global Address List (GAL). Если у пользователя нет почтового ящика, для передачи значений этих атрибутов может использоваться любой лес.If there's no mailbox for the user, any forest can be used to contribute these attribute values.
  • Если у пользователя есть связанный почтовый ящик, то есть и другая учетная запись в другом лесу, которая используется для входа.If you have a linked mailbox, there's also an account in a different forest used for sign-in.

Если среда не соответствует этим предположениям, произойдет следующее:If your environment does not match these assumptions, the following things happen:

  • Если у вас несколько активных учетных записей или несколько почтовых ящиков, модуль синхронизации выберет одну учетную запись или один почтовый ящик и проигнорирует остальные.If you have more than one active account or more than one mailbox, the sync engine picks one and ignores the other.
  • Связанный почтовый ящик, для которого нет другой активной учетной записи, не будет экспортирован в Azure AD.A linked mailbox with no other active account is not exported to Azure AD. Учетная запись пользователя не будет представлена как член какой-либо группы.The user account is not represented as a member in any group. В DirSync связанный почтовый ящик всегда будет представлен как обычный почтовый ящик.A linked mailbox in DirSync is always represented as a normal mailbox. Такое отличие в поведении является намеренным и служит для поддержки различных сценариев леса.This change is intentionally a different behavior to better support multiple-forest scenarios.

Дополнительные сведения см. в статье Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию.You can find more details in Understanding the default configuration.

Несколько лесов, несколько серверов синхронизации в одном клиенте Azure ADMultiple forests, multiple sync servers to one Azure AD tenant

Неподдерживаемая топология для нескольких лесов и нескольких серверов синхронизации

Подключение нескольких серверов синхронизации Azure AD Connect к одному клиенту Azure AD не поддерживается.Having more than one Azure AD Connect sync server connected to a single Azure AD tenant is not supported. В порядке исключения можно использовать промежуточный сервер.The exception is the use of a staging server.

Эта топология отличается от описанной ниже тем, что подключение нескольких серверов синхронизации к одному клиенту Azure AD не поддерживается.This topology differs from the one below in that multiple sync servers connected to a single Azure AD tenant is not supported.

Несколько лесов, один сервер синхронизации, пользователи представлены только в одном каталогеMultiple forests, single sync server, users are represented in only one directory

Параметр для представления пользователей во всех каталогах только один раз

Изображение нескольких лесов и отдельных топологий

В этой среде все локальные леса рассматриваются как отдельные сущности.In this environment, all on-premises forests are treated as separate entities. В любых других лесах пользователи отсутствуют.No user is present in any other forest. У каждого леса есть своя организация Exchange. Синхронизация GALSync между лесами отсутствует.Each forest has its own Exchange organization, and there's no GALSync between the forests. Такая топология может возникать в результате слияний и поглощений, а также в организации, в которой все подразделения функционируют независимо.This topology might be the situation after a merger/acquisition or in an organization where each business unit operates independently. В Azure AD эти леса будут находиться в одной организации и отображаться в едином глобальном списке адресов.These forests are in the same organization in Azure AD and appear with a unified GAL. На предыдущем рисунке каждый объект в каждом лесу представлен в метавселенной в единственном экземпляре с объединением в целевом клиенте Azure AD.In the preceding picture, each object in every forest is represented once in the metaverse and aggregated in the target Azure AD tenant.

Несколько лесов: сопоставление пользователейMultiple forests: match users

Для всех сценариев этого рода характерно то, что группы рассылки и группы безопасности могут состоять из пользователей, контактов и внешних субъектов безопасности.Common to all these scenarios is that distribution and security groups can contain a mix of users, contacts, and Foreign Security Principals (FSPs). Внешние участники безопасности используются в доменных службах Active Directory (AD DS) для представления элементов из других лесов в группе безопасности.FSPs are used in Active Directory Domain Services (AD DS) to represent members from other forests in a security group. Все внешние субъекты безопасности разрешаются в реальный объект в Azure AD.All FSPs are resolved to the real object in Azure AD.

Несколько лесов: полная сетка с дополнительным решением GALSyncMultiple forests: full mesh with optional GALSync

Параметр для использования атрибута почты для сопоставления в случае, когда удостоверения пользователей присутствуют в нескольких каталогах

Топология полной сетки для нескольких лесов

Топология полной сетки позволяет пользователям и ресурсам размещаться в любом лесу.A full mesh topology allows users and resources to be located in any forest. Как правило, между лесами образуются двусторонние отношения доверия.Commonly, there are two-way trusts between the forests.

Если Exchange присутствует в нескольких лесах, может быть доступным дополнительное локальное решение GALSync.If Exchange is present in more than one forest, there might be (optionally) an on-premises GALSync solution. Каждый пользователь будет представлен во всех остальных лесах как контакт.Every user is then represented as a contact in all other forests. GALSync часто реализуется через FIM 2010 или MIM 2016.GALSync is commonly implemented through FIM 2010 or MIM 2016. Azure AD Connect нельзя использовать в локальном решении GALSync.Azure AD Connect cannot be used for on-premises GALSync.

В этом сценарии объекты удостоверений соединяются с помощью атрибута почты.In this scenario, identity objects are joined via the mail attribute. Пользователь с почтовым ящиком в одном лесу объединяется с контактами в других лесах.A user who has a mailbox in one forest is joined with the contacts in the other forests.

Несколько лесов: лес ресурсов учетной записиMultiple forests: account-resource forest

Параметр для использования атрибутов ObjectSID и msExchMasterAccountSID для сопоставления, когда удостоверения присутствуют в нескольких каталогах

Топология леса ресурсов учетной записи для нескольких лесов

В топологии леса ресурсов учетной записи есть один или несколько лесов учетных записей с активными учетными записями пользователей.In an account-resource forest topology, you have one or more account forests with active user accounts. Может также существовать один (или несколько) лес ресурсов с отключенными учетными записями.You also have one or more resource forests with disabled accounts.

В этом сценарии один (или несколько) лес ресурсов доверяет всем лесам учетных записей.In this scenario, one (or more) resource forest trusts all account forests. Обычно в лесу ресурсов используется расширенная схема Active Directory с Exchange и Lync.The resource forest typically has an extended Active Directory schema with Exchange and Lync. Все службы Exchange и Lync, а также другие общие службы находятся в этом лесу.All Exchange and Lync services, along with other shared services, are located in this forest. У пользователей есть отключенные учетные записи в этом лесу. С лесом учетных записей связан почтовый ящик.Users have a disabled user account in this forest, and the mailbox is linked to the account forest.

Аспекты топологии в Office 365.Office 365 and topology considerations

Некоторые рабочие нагрузки Office 365 налагают ряд ограничений на поддерживаемые топологии.Some Office 365 workloads have certain restrictions on supported topologies:

Рабочая нагрузкаWorkload ОграниченияRestrictions
Exchange OnlineExchange Online Дополнительные сведения о гибридных топологиях, поддерживаемых Exchange Online, см. в разделе Гибридные развертывания в нескольких лесах Active Directory.For more information about hybrid topologies supported by Exchange Online, see Hybrid deployments with multiple Active Directory forests.
Skype для бизнесаSkype for Business При использовании нескольких локальных лесов единственной поддерживаемой топологией является лес ресурсов учетной записи.When you're using multiple on-premises forests, only the account-resource forest topology is supported. Дополнительные сведения см. в статье Требования к среде Skype для бизнеса Server 2015.For more information, see Environmental requirements for Skype for Business Server 2015.

Более крупным организациям рекомендуется использовать компонент Office 365 PreferredDataLocation.If you are a larger organization, then you should consider to use the Office 365 PreferredDataLocation feature. Он позволяет определить, в каком регионе центра обработки данных расположены ресурсы пользователя.It allows you to define in which datacenter region the user's resources are located.

промежуточного сервераStaging server

Промежуточный сервер в топологии

Azure AD Connect поддерживает установку второго сервера в промежуточном режиме.Azure AD Connect supports installing a second server in staging mode. Сервер в этом режиме считывает данные из всех подключенных каталогов, но не записывает ничего в подключенные каталоги.A server in this mode reads data from all connected directories but does not write anything to connected directories. Он использует обычный цикл синхронизации и поэтому содержит обновленную копию данных удостоверения.It uses the normal synchronization cycle and therefore has an updated copy of the identity data.

При отказе основного сервера можно выполнить отработку отказа на промежуточный сервер.In a disaster where the primary server fails, you can fail over to the staging server. Это можно сделать в мастере Azure AD Connect.You do this in the Azure AD Connect wizard. Второй сервер может находиться в другом центре обработки данных, так как он не делит инфраструктуру с основным сервером.This second server can be located in a different datacenter because no infrastructure is shared with the primary server. Любые изменения конфигурации основного сервера следует вручную копировать на второй сервер.You must manually copy any configuration change made on the primary server to the second server.

Вы можете использовать промежуточный сервер, чтобы проверить новую пользовательскую конфигурацию и узнать, как она повлияет на данные.You can use a staging server to test a new custom configuration and the effect that it has on your data. Вы можете просмотреть внесенные изменения и выполнить более точную настройку.You can preview the changes and adjust the configuration. Когда новая конфигурация будет завершена, вы сможете сделать промежуточный сервер активным и перевести старый сервер в промежуточный режим.When you're happy with the new configuration, you can make the staging server the active server and set the old active server to staging mode.

Этот метод также можно использовать для замены активного сервера синхронизации.You can also use this method to replace the active sync server. Подготовьте новый сервер и переведите его в промежуточный режим.Prepare the new server and set it to staging mode. Убедитесь, что он работает правильно, и отключите промежуточный режим (сервер станет активным). Завершите работу текущего сервера.Make sure it's in a good state, disable staging mode (making it active), and shut down the currently active server.

Чтобы иметь несколько резервных копий в разных центрах обработки данных, можно использовать несколько промежуточных серверов.It's possible to have more than one staging server when you want to have multiple backups in different datacenters.

Множество клиентов Azure ADMultiple Azure AD tenants

Мы рекомендуем использовать один клиент в Azure AD для всей организации.We recommend having a single tenant in Azure AD for an organization. Прежде чем использовать несколько клиентов Azure AD, ознакомьтесь со статьей Управление административными единицами в Azure AD (общедоступной предварительной версии).Before you plan to use multiple Azure AD tenants, see the article Administrative units management in Azure AD. В ней описываются стандартные сценарии, в которых можно использовать один клиент.It covers common scenarios where you can use a single tenant.

Топология для нескольких лесов и нескольких клиентов

Между сервером синхронизации Azure AD Connect и клиентом Azure AD устанавливается отношение 1:1.There's a 1:1 relationship between an Azure AD Connect sync server and an Azure AD tenant. Для каждого клиента Azure AD потребуется установить отдельный сервер синхронизации Azure AD Connect.For each Azure AD tenant, you need one Azure AD Connect sync server installation. Экземпляры клиента Azure AD являются изолированными по своей природе.The Azure AD tenant instances are isolated by design. Это значит, что пользователям в одном клиенте недоступны пользователи в другом клиенте.That is, users in one tenant can't see users in the other tenant. Если вам необходимо это разделение, это поддерживаемая конфигурация.If you want this separation, this is a supported configuration. В противном случае следует использовать модель одного клиента Azure AD.Otherwise, you should use the single Azure AD tenant model.

Каждый объект, повторяющийся только один раз в клиенте Azure ADEach object only once in an Azure AD tenant

Отфильтрованная топология для одного леса

В этой топологии один сервер синхронизации Azure AD Connect подключается к каждому клиенту Azure AD.In this topology, one Azure AD Connect sync server is connected to each Azure AD tenant. На серверах синхронизации Azure AD Connect необходимо настроить правила фильтрации, чтобы они обрабатывали взаимоисключающие наборы объектов.The Azure AD Connect sync servers must be configured for filtering so that each has a mutually exclusive set of objects to operate on. Например, каждый сервер может обслуживать определенный домен или подразделение.You can, for example, scope each server to a particular domain or organizational unit.

Домен DNS может быть зарегистрирован только в одном клиенте Azure AD.A DNS domain can be registered in only a single Azure AD tenant. Кроме того, имена участников-пользователей для локальных пользователей Active Directory должны располагаться в отдельных пространствах имен.The UPNs of the users in the on-premises Active Directory instance must also use separate namespaces. Например, на предыдущем рисунке в локальном экземпляре Active Directory регистрируется три отдельных суффикса имен участников-пользователей: contoso.com, fabrikam.com и wingtiptoys.com.For example, in the preceding picture, three separate UPN suffixes are registered in the on-premises Active Directory instance: contoso.com, fabrikam.com, and wingtiptoys.com. Пользователи каждого локального домена Active Directory используют различные пространства имен.The users in each on-premises Active Directory domain use a different namespace.

Примечание

Синхронизация глобального списка адресов (GalSync) не выполняется автоматически в этой топологии. Для нее требуется дополнительная пользовательская реализация MIM, чтобы у каждого клиента был полный глобальный список адресов (GAL) в Exchange Online и Skype для бизнеса Online.Global Address List Synchronization (GalSync) is not done automatically in this topology and requires an additional custom MIM implementation to ensure each tenant has a complete Global Address List (GAL) in Exchange Online and Skype for Business Online.

Эта топология налагает следующие ограничения на сценарии, поддерживаемые в других случаях:This topology has the following restrictions on otherwise supported scenarios:

  • гибридное развертывание Exchange с локальным экземпляром Active Directory можно включить только для одного клиента Azure AD;Only one of the Azure AD tenants can enable an Exchange hybrid with the on-premises Active Directory instance.
  • устройство под управлением Windows 10 можно связать только с одним клиентом Azure AD;Windows 10 devices can be associated with only one Azure AD tenant.
  • параметр единого входа для синхронизации хэша паролей и сквозной аутентификации можно использовать только с одним клиентом Azure AD.The single sign-on (SSO) option for password hash synchronization and pass-through authentication can be used with only one Azure AD tenant.

Требование относительно взаимоисключающих наборов объектов также применяется и к обратной записи.The requirement for a mutually exclusive set of objects also applies to writeback. Эта топология не будет поддерживать некоторые функции обратной записи, так как они предполагают наличие одной локальной конфигурации.Some writeback features are not supported with this topology because they assume a single on-premises configuration. Эти функции включают в себя следующие:These features include:

  • групповая обратная запись в конфигурации по умолчанию;Group writeback with default configuration.
  • обратная запись устройств.Device writeback.

Каждый объект, повторяющийся несколько раз в клиенте Azure ADEach object multiple times in an Azure AD tenant

Неподдерживаемая топология для одного леса и нескольких клиентов Неподдерживаемая топология для одного леса и нескольких соединителей

Следующие задачи не поддерживаются:These tasks are unsupported:

  • синхронизация одного пользователя с несколькими клиентами Azure AD;Sync the same user to multiple Azure AD tenants.
  • изменение конфигурации таким образом, чтобы пользователи одного клиента Azure AD отображались в другом клиенте Azure AD как контакты;Make a configuration change so that users in one Azure AD tenant appear as contacts in another Azure AD tenant.
  • изменение настройки службы синхронизации Azure AD Connect для подключения к нескольким клиентам Azure AD.Modify Azure AD Connect sync to connect to multiple Azure AD tenants.

Синхронизация GALSync с помощью обратной записиGALSync by using writeback

Неподдерживаемая топология для нескольких лесов и нескольких каталогов с синхронизацией GALSync, сфокусированной на Azure AD Неподдерживаемая топология для нескольких лесов и нескольких каталогов с синхронизацией GALSync, сфокусированной на локальном каталоге Active Directory

Клиенты Azure AD являются изолированными по своей природе.Azure AD tenants are isolated by design. Следующие задачи не поддерживаются:These tasks are unsupported:

  • изменение настройки службы синхронизации Azure AD Connect для чтения данных из другого клиента Azure AD;Change the configuration of Azure AD Connect sync to read data from another Azure AD tenant.
  • экспорт пользователей как контакты в другой локальный экземпляр Active Directory с использованием службы синхронизации Azure AD.Export users as contacts to another on-premises Active Directory instance by using Azure AD Connect sync.

Синхронизация GALSync с локальным сервером синхронизацииGALSync with on-premises sync server

Синхронизация GALSync в топологии для нескольких лесов и нескольких каталогов

Для синхронизации пользователей (с помощью GALSync) между двумя организациями Exchange можно локально использовать FIM 2010 или MIM 2016.You can use FIM 2010 or MIM 2016 on-premises to sync users (via GALSync) between two Exchange organizations. Пользователи из одной организации будут отображаться в другой организации как внешние пользователи или контакты.The users in one organization appear as foreign users/contacts in the other organization. Затем эти локальные экземпляры Active Directory можно синхронизировать с их собственными клиентами Azure AD.These different on-premises Active Directory instances can then be synchronized with their own Azure AD tenants.

Дальнейшие действияNext steps

Больше об установке Azure AD Connect для этих сценариев можно узнать в статье Выборочная установка Azure AD Connect.To learn how to install Azure AD Connect for these scenarios, see Custom installation of Azure AD Connect.

Узнайте больше о настройке службы синхронизации Azure AD Connect .Learn more about the Azure AD Connect sync configuration.

Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.Learn more about integrating your on-premises identities with Azure Active Directory.