将你的 Amazon 托管 Microsoft AD 连接到 Microsoft Entra Connect Sync - Amazon Directory Service
先决条件创建活动目录域用户下载 Entra Connect Sync运行 PowerShell 脚本安装 Entra Connect Sync
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将你的 Amazon 托管 Microsoft AD 连接到 Microsoft Entra Connect Sync

本教程将引导你完成必要的安装步骤,以便将你Microsoft Entra ID同步Microsoft Entra Connect Sync到 Amazon 托管 Microsoft AD。

在本教程中,您将执行以下操作:

  1. 创建 Amazon 托管微软 AD 域用户。

  2. 下载 Entra Connect Sync。

  3. 使用 PowerShell 运行脚本,以便为新创建的用户预置适当的权限。

  4. 安装 Entra Connect Sync。

先决条件

要完成本教程,您需要做以下准备:

创建活动目录域用户

本教程假设你已经有一个 Amazon 托管 Microsoft AD 以及一个Administration Tools安装了 Active Directory 的 EC2 Windows服务器实例。有关更多信息,请参阅 为托管的 Microsoft AD 安装活动目录 Amazon 管理工具

  1. 连接到安装了 Active Directory Administration Tools 的实例。

  2. 创建 Amazon 托管微软 AD 域用户。此用户将成为用于 Entra Connect Sync 的 Active Directory Directory Service (AD DS) Connector account。有关此过程的详细步骤,请参阅创建微软 AD Amazon 托管用户

下载 Entra Connect Sync

  • Entra Connect Sync从Microsoft网站下载到 Amazon 托管的 Microsoft AD 管理员 EC2 实例上。

警告

此时请勿打开或运行 Entra Connect Sync。后续步骤将为在步骤 1 中创建的域用户提供必要的权限。

运行 PowerShell 脚本

  • 以管理员身份打开 PowerShell 并运行以下脚本。

    脚本运行时,系统将要求您输入步骤 1 中新创建的域用户的AMAccount名称

    注意

    有关运行脚本的更多信息,请参阅以下内容:

    • 您可以将带有 ps1 扩展名的脚本保存到类似 temp 的文件夹中。然后您可以使用以下 PowerShell 命令加载脚本:

      import-module "c:\temp\entra.ps1"

    • 加载脚本后,您可以使用以下命令来设置运行脚本所需的权限,Entra_Service_Account_Name替换为您的Entra服务帐户名:

      Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}
显示更多显示更少

安装 Entra Connect Sync

  1. 脚本完成后,您可以运行下载的 Microsoft Entra Connect(以前称为 Azure Active Directory Connect)配置文件。

  2. 运行上一步中的配置文件后,将打开 Microsoft Azure Active Directory Connect 窗口。在快速设置窗口中,选择自定义

    突出显示自定义按钮的 Microsoft Azure Active Directory Connect 窗口。

  3. 安装必需组件窗口中,选中使用现有服务账户复选框。在服务账户名称服务账户密码中,输入您在步骤 1 中创建的用户的 AD DS Connector account名称和密码。例如,如果您的 AD DS Connector account名称为 entra,则账户名为 corp\entra。然后选择安装

    在“安装必需组件”窗口中选中“使用现有服务账户和域账户”,并提供服务账户名称和密码。

  4. 用户登录窗口中,选择以下选项之一:

    1. 直通身份验证-此选项允许您使用用户名和密码登录 Active Directory。

    2. 不配置:此选项允许您使用 Microsoft Entra(以前称为 Azure Active Directory(Azure AD))或 Office 365 联合登录。

      然后选择下一步

  5. 连接到 Azure 窗口中,输入 Entra ID 的全局管理员用户名和密码,然后选择下一步

  6. Connect 您的目录窗口中,为目录类型选择 Active Di rectory。为你的 FOREST Amazon 托管 Microsoft AD 选择森林。然后选择添加目录

  7. 将显示弹出框,要求您选择账户选项。选择使用现有 AD 账户。输入在步骤 1 中创建的 AD DS Connector account用户名和密码,然后选择确定。然后选择下一步

    在 AD 林账户弹出框中选中“使用现有 AD 账户”,并提供域用户名和密码。

  8. Azure AD 登录窗口中,仅当您未将经过验证的虚拟域添加到 Entra ID 时,选择继续而不将所有 UPN 后缀匹配到已验证域。然后选择下一步

  9. 域/OU 筛选窗口中,选择适合您需求的选项。有关更多信息,请参阅 Microsoft 文档中的 Entra Connect Sync:配置筛选。然后选择下一步

  10. 识别用户、筛选和可选功能窗口中,保留默认值并选择下一步

  11. 配置窗口中,查看配置设置并选择配置。Entra Connect Sync 的安装将完成,用户将开始与 Microsoft Entra ID 同步。