将你的 Microsoft Amazon 托管广告连接到 Microsoft Entra Connect Sync - Amazon Directory Service
先决条件步骤 1:创建Active Directory域用户第 2 步:下载 Entra Connect Sync步骤 3:运行Windows PowerShell脚本第 4 步:安装 Entra Connect Sync
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将你的 Microsoft Amazon 托管广告连接到 Microsoft Entra Connect Sync

本教程将引导你完成必要的安装步骤,以便将你Microsoft Entra ID同步Microsoft Entra Connect Sync到 Amazon 托管 Microsoft AD。

在本教程中,您将执行以下操作:

  1. 创建 Amazon 托管微软 AD 域用户。

  2. 下载 Entra Connect Sync。

  3. Windows PowerShell用于运行脚本,为新创建的用户提供适当的权限。

  4. 安装 Entra Connect Sync。

先决条件

要完成本教程,您需要做以下准备:

步骤 1:创建Active Directory域用户

本教程假设你已经Active DirectoryAdministration Tools安装了 Amazon 托管 Microsoft AD 和一个 EC2 Windows 服务器实例。有关更多信息,请参阅 安装适用于 Amazon 托管微软 AD 的 Active Directory 管理工具

  1. Connect 连接到安装Active DirectoryAdministration Tools它们的实例。

  2. 创建 Amazon 托管微软 AD 域用户。此用户将成为 f Active Directory Directory Service (AD DS) Connector account orEntra Connect Sync. 有关此过程的详细步骤,请参阅创建用户

第 2 步:下载 Entra Connect Sync

警告

此Entra Connect Sync时请勿打开或运行。接下来的步骤将为在步骤 1 中创建的域用户提供必要的权限。

步骤 3:运行Windows PowerShell脚本

$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}
显示更多显示更少

第 4 步:安装 Entra Connect Sync

  1. 脚本完成后,您可以运行下载的Microsoft Entra Connect(以前称为Azure Active Directory Connect)配置文件。

  2. 运行上一步中的配置文件后,将打开一个MicrosoftAzure Active Directory Connect窗口。在 “快速设置” 窗口中,选择 “自定义”。

    MicrosoftAzure Active Directory Connect突出显示了自定义按钮的窗口。

  3. 在 “安装所需组件” 窗口中,选中 “使用现有服务帐户” 复选框。在服务帐户名称服务帐户密码中,输入您在步骤 1 中创建的用户的AD DS Connector account名称和密码。例如,如果你的AD DS Connector account名字是entra,那么账户名就是corp\entra。然后选择 “安装”。

    “安装必需组件” 窗口,选中 “使用现有服务帐户和域帐户”,并提供服务帐户名和密码。

  4. 在 “用户登录” 窗口中,选择以下选项之一:

    1. 直通身份验证-此选项允许您Active Directory使用用户名和密码登录。

    2. 请勿配置-这允许您使用联合登录Microsoft Entra(以前称为 Azure Active Directory (AzureAD))或Office 365。

      然后选择下一步

  5. Connect to Azure 窗口中,输入您的全局管理员用户名和密码,然后选择下一步。Entra ID

  6. 在 “Connect 您的目录” 窗口中,选择 “Active Directory目录类型”。为你的 FOREST Amazon 托管 Microsoft AD 选择森林。然后选择 “添加目录”。

  7. 将出现一个弹出框,要求您选择账户选项。选择 “使用现有 AD 账户”。输入在步骤 1 中创建的AD DS Connector account用户名和密码,然后选择确定。然后选择下一步

    AD 林帐户弹出框,其中选中 “使用现有 AD 帐户”,并提供了域用户名和密码。

  8. 在 “Azure AD登录” 窗口中,选择 “继续”,但不要将所有 UPN 后缀与已验证的域名进行匹配,前提是您没有添加经过验证的虚域名。Entra ID然后选择下一步

  9. 域/OU 筛选窗口中,选择适合您需求的选项。有关更多信息,请参阅 Entra Connect Sync:Microsoft文档中的配置筛选。然后选择下一步

  10. 在 “识别用户、筛选和可选功能” 窗口中,保留默认值并选择 “下一步”。

  11. 配置窗口中,查看配置设置并选择配置。的安装Entra Connect Sync将完成,用户将开始与同步Microsoft Entra ID。