Menghubungkan Microsoft AD yang AWS Dikelola ke Microsoft Entra Connect Sync - AWS Directory Service
PrasyaratBuat pengguna domain Active DirectoryUnduh Entra Connect SyncJalankan PowerShell ScriptInstal Entra Connect Sync

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan Microsoft AD yang AWS Dikelola ke Microsoft Entra Connect Sync

Tutorial ini memandu Anda melalui langkah-langkah yang diperlukan untuk menginstal Microsoft Entra Connect Syncuntuk menyinkronkan Anda Microsoft Entra IDke Microsoft AD yang AWS Dikelola.

Dalam tutorial ini, Anda akan melakukan hal-hal berikut:

  1. Buat pengguna domain Microsoft AD yang AWS Dikelola.

  2. Unduh Entra Connect Sync.

  3. Gunakan PowerShell untuk menjalankan skrip untuk memberikan izin yang sesuai untuk pengguna yang baru dibuat.

  4. Instal Entra Connect Sync.

Prasyarat

Anda akan memerlukan yang berikut untuk menyelesaikan tutorial ini:

Buat pengguna domain Active Directory

Tutorial ini mengasumsikan Anda sudah memiliki AWS Managed Microsoft AD serta instance EC2 Windows Server dengan Active Directory Administration Tools diinstal. Untuk informasi selengkapnya, lihat Menginstal Alat Administrasi Direktori Aktif untuk Microsoft AD yang AWS Dikelola.

  1. Connect ke instance di mana Active Directory Administration Tools diinstal.

  2. Buat pengguna domain Microsoft AD yang AWS Dikelola. Pengguna ini akan menjadi Active Directory Directory Service (AD DS) Connector account untukEntra Connect Sync. Untuk langkah-langkah rinci tentang proses ini, lihatMembuat pengguna Microsoft AD yang AWS Dikelola.

Unduh Entra Connect Sync

  • Unduh Entra Connect Sync dari Microsoftsitus web ke EC2 instance yang merupakan admin Microsoft AD yang AWS Dikelola.

Awas

Jangan buka atau jalankan Entra Connect Sync pada saat ini. Langkah selanjutnya akan memberikan izin yang diperlukan untuk pengguna domain Anda yang dibuat di Langkah 1.

Jalankan PowerShell Script

  • Buka PowerShell sebagai Administrator dan jalankan skrip berikut.

    Saat skrip sedang berjalan, Anda akan diminta untuk memasukkan AMAccountNama s untuk pengguna domain yang baru dibuat dari Langkah 1.

    catatan

    Lihat berikut ini untuk informasi selengkapnya tentang menjalankan skrip:

    • Anda dapat menyimpan skrip dengan ps1 ekstensi ke folder sepertitemp. Kemudian, Anda dapat menggunakan PowerShell perintah berikut untuk memuat skrip:

      import-module "c:\temp\entra.ps1"

    • Setelah memuat skrip, Anda dapat menggunakan perintah berikut untuk mengatur izin yang diperlukan untuk menjalankan skrip, mengganti Entra_Service_Account_Name dengan nama akun Entra layanan Anda:

      Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}
Tampilkan lebih banyakTampilkan lebih sedikit

Instal Entra Connect Sync

  1. Setelah skrip selesai, Anda dapat menjalankan file konfigurasi yang diunduh Microsoft Entra Connect (sebelumnya dikenal sebagaiAzure Active Directory Connect).

  2. Sebuah Microsoft Azure Active Directory Connect jendela terbuka setelah menjalankan file konfigurasi dari langkah sebelumnya. Pada jendela Pengaturan Ekspres, pilih Sesuaikan.

    MicrosoftAzure Active Directory Connectjendela dengan tombol kustomisasi disorot.

  3. Pada jendela Instal komponen yang diperlukan, pilih kotak centang Gunakan akun layanan yang ada. Di NAMA AKUN LAYANAN dan KATA SANDI AKUN LAYANAN, masukkan AD DS Connector account nama dan kata sandi untuk pengguna yang Anda buat di Langkah 1. Misalnya, jika AD DS Connector account nama Andaentra, nama akun akan menjadicorp\entra. Kemudian pilih Instal.

    Instal jendela komponen yang diperlukan dengan menggunakan akun layanan yang ada dan akun domain yang dipilih, dan nama akun layanan dan kata sandi yang disediakan.

  4. Pada jendela User Sign-in, pilih salah satu opsi berikut:

    1. Pass-through Authentication - Opsi ini memungkinkan Anda untuk masuk ke Active Directory Anda dengan nama pengguna dan kata sandi Anda.

    2. Jangan mengkonfigurasi - Ini memungkinkan Anda untuk menggunakan masuk federasi dengan Microsoft Entra (sebelumnya dikenal sebagai Azure Active Directory (AzureAD)) atau. Office 365

      Kemudian pilih Berikutnya.

  5. Pada Azure jendela Connect to, masukkan nama pengguna dan kata sandi Administrator Global Anda Entra ID dan pilih Berikutnya.

  6. Pada jendela Connect your directories, pilih Active Directory for DIRECTORY TYPE. Pilih hutan untuk Microsoft AD for FOREST yang AWS Dikelola. Kemudian pilih Tambahkan Direktori.

  7. Kotak pop-up muncul meminta opsi akun Anda. Pilih Gunakan akun AD yang ada. Masukkan nama AD DS Connector account pengguna dan kata sandi yang dibuat pada Langkah 1 dan kemudian pilih OK. Kemudian pilih Berikutnya.

    Kotak pop-up akun hutan AD dengan penggunaan akun AD yang ada dipilih dan nama pengguna dan kata sandi domain yang disediakan.

  8. Pada jendela Azure ADMasuk, pilih Lanjutkan tanpa mencocokkan semua sufiks UPN dengan domain terverifikasi, hanya jika Anda tidak memiliki domain vanity terverifikasi yang ditambahkan. Entra ID Kemudian pilih Berikutnya.

  9. Pada jendela pemfilteran domain/OU, pilih opsi yang sesuai dengan kebutuhan Anda. Untuk informasi selengkapnya, lihat Entra Connect Sync: Mengkonfigurasi pemfilteran dalam Microsoft dokumentasi. Kemudian pilih Berikutnya.

  10. Pada jendela Mengidentifikasi Pengguna, Pemfilteran, dan Fitur Opsional, pertahankan nilai default dan pilih Berikutnya.

  11. Pada jendela Konfigurasi, tinjau pengaturan konfigurasi dan pilih Konfigurasi. Instalasi untuk Entra Connect Sync akan selesai dan pengguna akan mulai melakukan sinkronisasi dengan. Microsoft Entra ID