本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将你的 AWS 托管 Microsoft AD 连接到 Microsoft Entra Connect Sync
本教程将引导你完成必要的安装步骤,以便将你[https://learn.microsoft.com/en-us/entra/fundamentals/whatis](https://learn.microsoft.com/en-us/entra/fundamentals/whatis)同步[https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-whatis](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-whatis)到 AWS 托管 Microsoft AD。
在本教程中,您将执行以下操作:
1. 创建 AWS 托管微软 AD 域用户。
1. 下载 Entra Connect Sync。
1. 使用 PowerShell 运行脚本,以便为新创建的用户预置适当的权限。
1. 安装 Entra Connect Sync。
## 先决条件
要完成本教程,您需要做以下准备:
+ 微软的 AWS 托管广告。有关更多信息,请参阅 [创建你的 Microsoft AWS 托管广告](ms_ad_getting_started.md#ms_ad_getting_started_create_directory)。
+ 亚马逊 EC2 Windows 服务器实例已加入您的 AWS 托管微软 AD。有关更多信息,请参阅 [加入 Windows 实例](launching_instance.md)。
+ Administration Tools安装了活动目录的 EC2 Windows 服务器,用于 AWS 管理您的托管 Microsoft AD。有关更多信息,请参阅 [为托管的 Microsoft AD 安装活动目录 AWS 管理工具](ms_ad_install_ad_tools.md)。
## 创建 Active Directory 域用户
本教程假设你已经拥有 AWS 托管 Microsoft AD 以及Administration Tools安装了 Active Directory 的 EC2 Windows 服务器实例。有关更多信息,请参阅 [为托管的 Microsoft AD 安装活动目录 AWS 管理工具](ms_ad_install_ad_tools.md)。
1. 连接到安装了 Active Directory Administration Tools 的实例。
1. 创建 AWS 托管微软 AD 域用户。此用户将成为用于 Entra Connect Sync 的 Active Directory Directory Service (AD DS) Connector account。有关此过程的详细步骤,请参阅[创建微软 AD AWS 托管用户](ms_ad_manage_users_groups_create_user.md)。
## 下载 Entra Connect Sync
+ Entra Connect Sync从[Microsoft网站下载到作为](https://www.microsoft.com/en-us/download/details.aspx?id=47594) AWS 托管的 Microsoft AD 管理员的 EC2 实例。
**警告**
此时请勿打开或运行 Entra Connect Sync。后续步骤将为在步骤 1 中创建的域用户提供必要的权限。
## 运行 PowerShell 脚本
+ [以管理员身份打开 PowerShell](https://learn.microsoft.com/en-us/powershell/scripting/windows-powershell/starting-windows-powershell?view=powershell-7.4) 并运行以下脚本。
脚本运行时,系统将要求您输入步骤 1 中新创建的域用户的[AMAccount名称](https://learn.microsoft.com/en-us/windows/win32/ad/naming-properties#samaccountname)。
**注意**
有关运行脚本的更多信息,请参阅以下内容:
您可以将带有 `ps1` 扩展名的脚本保存到类似 **temp** 的文件夹中。然后您可以使用以下 PowerShell 命令加载脚本:
```
import-module "c:\temp\entra.ps1"
```
加载脚本后,您可以使用以下命令来设置运行脚本所需的权限,*Entra\$1Service\$1Account\$1Name*替换为您的Entra服务帐户名:
```
Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name
```
```
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
try {
# Attempt to import the module
Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
Import-Module $modulePath -ErrorAction Stop
Write-Host -ForegroundColor Green "Success!"
}
catch {
# Display the exception message
Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}
Function Set-EntraConnectSvcPerms {
[CmdletBinding()]
Param (
[String]$ServiceAccountName
)
#Requires -Modules 'ActiveDirectory' -RunAsAdministrator
Try {
$Domain = Get-ADDomain -ErrorAction Stop
} Catch [System.Exception] {
Write-Output "Failed to get AD domain information $_"
}
$BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
$Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'
Try {
$OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
} Catch [System.Exception] {
Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
}
Try {
$ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
} Catch [System.Exception] {
Write-Output "Failed to get service account DN $_"
}
Foreach ($OU in $OUs) {
try {
Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"
Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
}
catch {
Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
}
}
}
```
## 安装 Entra Connect Sync
1. 脚本完成后,您可以运行下载的 Microsoft Entra Connect(以前称为 Azure Active Directory Connect)配置文件。
1. 运行上一步中的配置文件后,将打开 Microsoft Azure Active Directory Connect 窗口。在**快速设置**窗口中,选择**自定义**。
![\[突出显示自定义按钮的 Microsoft Azure Active Directory Connect 窗口。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/express-settings.png)
1. 在**安装必需组件**窗口中,选中**使用现有服务账户**复选框。在**服务账户名称**和**服务账户密码**中,输入您在步骤 1 中创建的用户的 AD DS Connector account名称和密码。例如,如果您的 AD DS Connector account名称为 `entra`,则账户名为 `corp\entra`。然后选择**安装**。
![\[在“安装必需组件”窗口中选中“使用现有服务账户和域账户”,并提供服务账户名称和密码。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/install-required-components.png)
1. 在**用户登录**窗口中,选择以下选项之一:
1. [直通身份验证](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-pta):此选项允许您使用用户名和密码登录 Active Directory。
1. **不配置**:此选项允许您使用 Microsoft Entra(以前称为 Azure Active Directory(Azure AD))或 Office 365 联合登录。
然后选择**下一步**。
1. 在**连接到 Azure** 窗口中,输入 Entra ID 的[全局管理员](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference#global-administrator)用户名和密码,然后选择**下一步**。
1. 在**连接您的目录**窗口中,对于**目录类型**选择 **Active Directory**。为你的 FOREST AWS 托管 Microsoft AD 选择**森林**。然后选择**添加目录**。
1. 将显示弹出框,要求您选择账户选项。选择**使用现有 AD 账户**。输入在步骤 1 中创建的 AD DS Connector account用户名和密码,然后选择**确定**。然后选择**下一步**。
![\[在 AD 林账户弹出框中选中“使用现有 AD 账户”,并提供域用户名和密码。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/connect-to-your-directories.png)
1. 在 **Azure AD 登录**窗口中,仅当您未将经过验证的虚拟域添加到 Entra ID 时,选择**继续而不将所有 UPN 后缀匹配到已验证域**。然后选择**下一步**。
1. 在**域/OU 筛选**窗口中,选择适合您需求的选项。有关更多信息,请参阅 Microsoft 文档中的 [Entra Connect Sync:配置筛选](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-configure-filtering)。然后选择**下一步**。
1. 在**识别用户、筛选和可选功能**窗口中,保留默认值并选择**下一步**。
1. 在**配置**窗口中,查看配置设置并选择**配置**。Entra Connect Sync 的安装将完成,用户将开始与 Microsoft Entra ID 同步。