Azure AD Connect 的拓撲

本文說明使用 Azure AD Connect 同步處理做為重要整合解決方案的各種內部部署和 Azure Active Directory (Azure AD) 拓撲。 本文包含受支援和不受支援的組態。

以下是文章中圖片的圖例︰

Description 符號
內部部署 Active Directory 樹系 On-premises Active Directory forest
內含篩選匯入的內部部署 Active Directory Active Directory with filtered import
Azure AD Connect 同步處理伺服器 Azure AD Connect sync server
Azure AD Connect 同步處理伺服器「預備模式」 Azure AD Connect sync server “staging mode”
GALSync 與 Forefront Identity Manager (FIM) 2010 或 Microsoft Identity Manager (MIM) 2016 GALSync with FIM 2010 or MIM 2016
Azure AD Connect 同步處理伺服器,詳細說明 Azure AD Connect sync server, detailed
Azure AD Azure Active Directory
不受支援的案例 Unsupported scenario

重要

Microsoft 不支援在正式記載的組態或動作以外修改和操作 Azure AD Connect 同步處理。 所有的這些組態或動作都可能造成 Azure AD Connect 同步處理變成不一致或不支援的狀態,因此,Microsoft 無法針對這類部署提供技術支援。

單一樹系、單一 Azure AD 租用戶

Topology for a single forest and a single tenant

最常見的拓撲是單一內部部署樹系 (內含一或多個網域) 和單一 Azure AD 租用戶。 對於 Azure AD 驗證,會使用密碼雜湊同步處理。 Azure AD Connect 的快速安裝僅支援此拓撲。

單一樹系、多部同步處理伺服器連接到一個 Azure AD 租用戶

Unsupported, filtered topology for a single forest

不支援多部的 Azure AD Connect 同步處理伺服器連線到相同 Azure AD 租用戶 (除了 預備伺服器之外)。 即使這些伺服器設定為同步處理互斥的一組物件,也不支援。 如果您無法從單一伺服器觸達樹系中的所有網域,或者想要將負載分散到數個伺服器,您可能已經考慮過這個拓撲。

多個樹系、單一 Azure AD 租用戶

Topology for multiple forests and a single tenant

許多組織都有包含多個內部部署 Active Directory 樹系的環境。 擁有多個內部部署 Active Directory 的原因有很多。 常見的範例如包含帳戶資源樹系,和合併或收購的結果。

當您擁有多個樹系,所有樹系必須可由單一 Azure AD Connect 同步處理伺服器連線。 伺服器必須加入網域。 如有必要觸達所有的樹系,您可以將伺服器放置於周邊網路 (也稱為 DMZ及遮蔽式子網路)。

Azure AD Connect 安裝精靈會提供數個選項以合併多個樹系中表示的使用者。 目標是使用者只會在 Azure AD 中顯示一次。 有一些常見的拓撲,您可以在安裝精靈中的自訂安裝路徑中設定。 在 [專門識別您的使用者] 頁面上,選取表示拓撲的對應選項。 只對使用者設定合併。 重複群組不會和預設組態合併。

常見的拓撲將在個別拓撲、完整網狀帳戶資源拓撲相關章節中討論。

Azure AD Connect 同步處理中的預設組態假設:

  • 每個使用者只有一個啟用的帳戶,且此帳戶所在之樹系用於驗證使用者。 這項假設適用於密碼雜湊同步處理、傳遞驗證和同盟。 UserPrincipalName 和 sourceAnchor/immutableID 來自此樹系
  • 每個使用者只有一個信箱。
  • 裝載使用者信箱的樹系具有最佳資料品質,以供屬性在 Exchange 全域通訊清單 (GAL) 中顯示。 如果使用者沒有信箱,則任何樹系皆可用於提供這些屬性值。
  • 如果您有連結的信箱,則不同的樹系中還有帳戶用來登入。

如果您的環境不符合這些假設,則會發生下列情況:

  • 如果您有多個使用中的帳戶或多個信箱,同步處理引擎會挑選其中一個,其他全部忽略。
  • 沒有使用中帳戶的已連結的信箱不會匯出至 Azure AD。 使用者帳戶不會顯示為任何群組中的成員。 DirSync 中已連結的信箱一律會顯示為一般信箱。 這個變更是刻意的不同行為,可更有效支援多個樹系案例。

您可以在了解預設組態中找到更多詳細資料。

多個樹系、多部同步處理伺服器連接到一個 Azure AD 租用戶

Unsupported topology for multiple forests and multiple sync servers

不支援超過一部的 Azure AD Connect 同步處理伺服器連線到單一 Azure AD 租用戶。 例外狀況是使用 預備伺服器

此拓撲與下列拓撲的不同之處,在於不支援多部同步伺服器連線到單一 Azure AD 租用戶。

多個樹系、單一同步伺服器、使用者只會以一個目錄表示

Option for representing users only once across all directories

Depiction of multiple forests and separate topologies

在此環境中,所有內部部署樹系會被視為個別的實體。 使用者不會顯示在其他樹系中。 每個樹系具有自己的 Exchange 組織,且在樹系間沒有 GALSync。 這個拓撲可能是合併/收購之後,或是在一個每個業務單位各自獨立作業的組織中。 在 Azure AD 中,這些樹系將會在相同的組織中並與統一 GAL 一起出現。 在上圖中,每個樹系中的個別物件都會在 Metaverse 中顯示一次,並在目標 Azure AD 租用戶中彙總。

多個樹系:比對使用者

這些案例的常見狀況是通訊群組和安全性群組可以包含使用者、連絡人和外部安全性主體 (FSP) 的組合。 FSP 可在 Active Directory Domain Services (ADDS) 中用來代表安全性群組中來自其他樹系的成員。 在 Azure AD 中,所有 FSP 都會解析為實際物件。

多個樹系:內含選擇性 GALSync 的完整網狀

Option for using the mail attribute for matching when user identities exist across multiple directories

Full mesh topology for multiple forests

完整網狀拓撲可讓使用者和資源位於任何樹系中。 通常,在樹系之間有雙向信任關係。

如果 Exchange 出現在一個以上的樹系中,有可能是選擇性的內部部署 GALSync 解決方案。 然後每個使用者可以顯示為所有其他樹系中的連絡人。 GALSync 通常會透過 FIM 2010 或 MIM 2016 實作。 Azure AD Connect 無法用於內部部署 GALSync。

在此案例中,身分識別物件是透過郵件屬性來聯結。 在一個樹系中擁有信箱的使用者會與其他樹系中的連絡人聯結。

多個樹系:帳戶資源樹系

Option for using the ObjectSID and msExchMasterAccountSID attributes for matching when identities exist across multiple directories

Account-resource forest topology for multiple forests

在帳戶資源樹系拓撲中,您會有一個以上的帳戶樹系內含作用中的使用者帳戶。 您也會有一或多個資源樹系具有停用的帳戶。

在此案例中,一個 (或多個) 資源樹系信任所有帳戶樹系。 此資源樹系通常具有擴充的 Active Directory 結構描述與 Exchange 和 Lync。 所有的 Exchange 和 Lync 服務以及其他共用的服務都位於此樹系。 使用者在此樹系中擁有停用的使用者帳戶,而信箱會連結至帳戶樹系。

Microsoft 365 和拓撲考量

有些 Microsoft 365 工作負載對受支援的拓撲有某些限制:

工作負載 限制
Exchange Online 如需有關 Exchange Online 所支援之混合式技術的詳細資訊,請參閱具有多個 Active Directory 樹系的混合部署
商務用 Skype 使用多個內部部署樹系時,只會支援帳戶資源樹系拓撲。 如需詳細資訊,請參閱商務用 Skype Server 2015 的環境需求

如果您是較大型的組織,那麼就應該考量使用 Microsoft 365 PreferredDataLocation 功能。 它可讓您定義使用者的資源要放置於哪個資料中心區域。

預備伺服器

Staging server in a topology

Azure AD Connect 支援以「預備模式」安裝第二部伺服器。 此模式中的伺服器會讀取所有已連接目錄中的資料,但是不會將任何資料寫入已連接的目錄。 它使用一般的同步處理循環,因此也有身分識別資料的更新複本。

在主要伺服器失敗的災害中,您可以容錯移轉到預備伺服器。 您在 Azure AD Connect 精靈中執行這項操作。 第二部伺服器可以位於不同的資料中心,因為沒有和主要伺服器共用基礎結構。 您必須手動將主要伺服器上進行的任何組態變更複製到第二部伺服器。

您可以使用預備伺服器以測試新的自訂組態以及它對您的資料所造成的影響。 您可以預覽變更並調整組態。 當您滿意新的組態時,您可以讓預備伺服器成為使用中的伺服器,並將舊的使用中伺服器設定為預備模式。

您也可以使用這個方法來取代使用中的同步處理伺服器。 準備新的伺服器,並且將其設定為預備模式。 請確定它處於良好狀態、停用預備模式 (讓它成為使用中),並關閉目前作用中的伺服器。

如果您想要在不同的資料中心有多個備份,您也可以擁有一個以上的預備伺服器。

多個 Azure AD 租用戶

我們建議一個組織在 Azure AD 中有單一租用戶。 在您計劃使用多個 Azure AD 租用戶之前,請參閱文章 Azure AD 中的系統管理單位管理。 它涵蓋了常見的案例,您可以使用單一租用戶。

將 AD 物件同步至多個 Azure AD 租用戶

Diagram that shows a topology of multiple Azure A D tenants.

此拓撲會實作下列使用案例:

  • AADConnect 可將單一 Active Directory 中的相同使用者、群組和連絡人同步至多個 Azure AD 租用戶。 這些租用戶可以位於不同的 Azure 環境中,例如 Azure 中國環境或 Azure Government 環境,但也可以位於相同的 Azure 環境中,例如兩個在 Azure Commercial 中的租用戶。
  • 相同的來源錨點可用於不同租用戶中的單一物件 (但不能用於相同租用戶中的多個物件)
  • 您必須為每個要同步的 Azure AD 租用戶部署 AADConnect 伺服器,因為一個 AADConnect 伺服器無法同步至多個 Azure AD 租用戶。
  • 您可以為每個租用戶採用不同的同步範圍和同步規則。
  • 只有一個 Azure AD 的租用戶同步可以設定為寫回 Active Directory 的相同物件。 這包括裝置和群組回寫以及混合式 Exchange 設定,這些功能只能在一個租用戶中設定。 唯一的例外是密碼回寫,詳見下文。
  • 您可以針對相同的使用者物件,設定從 Active Directory 到多個 Azure AD 租用戶的密碼雜湊同步。 如果已為租用戶啟用密碼雜湊同步,則也可以啟用密碼回寫,而且可以在多個租用戶上執行此動作:如果某個租用戶的密碼已變更,則密碼回寫會在 Active Directory 中更新此密碼,而密碼雜湊同步將會更新其他租用戶中的密碼。
  • 即使租用戶位於不同的 Azure 環境中,也不支援在多個 Azure AD 租用戶中新增和驗證相同的自訂網域名稱。
  • 不支援在 AD 中設定使用樹系層級設定的混合式體驗,例如無縫 SSO 和混合式 Azure AD Join (非目標方法),並有多個租用戶。 這樣做會覆寫另一個租用戶的設定,並使其再也無法使用。 您可以在規劃混合式 Azure Active Directory 加入部署中找到其他資訊。
  • 您可以將裝置物件同步至多個租用戶,但是裝置只能是一個租用戶的加入混合式 Azure AD 裝置。
  • 每個 Azure AD 連線執行個體都應該在已加入網域的機器上執行。

注意

「全域通訊清單同步處理」(GalSync) 在此拓撲中不會自動執行,需要額外的自訂 MIM 實作以確保每個租用戶在 Exchange Online 和「商務用 Skype Online」中都擁有完整的「全域通訊清單」(GAL)。

使用回寫 GALSync

Unsupported topology for multiple forests and multiple directories, with GALSync focusing on Azure ADUnsupported topology for multiple forests and multiple directories, with GALSync focusing on on-premises Active Directory

具備內部部署同步處理伺服器的 GALSync

GALSync in a topology for multiple forests and multiple directories

您可以使用 FIM 2010 或 MIM 2016 內部部署來同步處理兩個 Exchange 組織之間的使用者 (透過 GALSync)。 一個組織中的使用者將會顯示為其他組織中的外部使用者/連絡人。 這些不同的內部部署 Active Directory 執行個體可同步處理至它們自己的 Azure AD 租用戶。

使用未經授權的用戶端存取 Azure AD Connect 後端

Using unauthorized clients to access the Azure AD Connect backend

Azure Active Directory Connect 伺服器會透過 Azure AD Connect 後端與 Azure Active Directory 進行通訊。 唯一可以用來與此後端通訊的軟體是 Azure Active Directory Connect。 不支援使用任何其他軟體或方法與 Azure Active Directory Connect 後端進行通訊。

後續步驟

若要了解如何安裝這些案例的 Azure AD Connect,請參閱自訂 Azure AD Connect 安裝

深入了解 Azure AD Connect 同步 組態。

深入了解將內部部署身分識別與 Azure Active Directory 整合