组织经常使用Azure广告连接保持的关系on-prem active directory和Office 365 / Azure云实例,而当这样做,重要的是他们构建冗余与业务连续性。
最近我们的组织试图使其同步两个有意义的变化关系:
- 建立一个non-domain-controller广告连接服务器
- 配置现有的同步服务器的备用与主服务器故障转移的问题
应该只有一个动态同步服务器在任何给定的时间作为一个权威的数据从on-prem同步到云端。
可以在域控制器上安装广告连接,这就是我们所做的与我们最初on-prem广告连接服务器,服务器a,但是在大多数情况下,这是最佳实践使用一个专用的服务器,以避免两个角色之间的冲突。也使得隔离在问题出现时,对一个服务进行维护而不影响另一个。(任何服务器必须on-prem广告连接安装在它在您的环境。)
所以我们的团队服务于备用和创建了一个新的服务器(服务器B)和给它的唯一目的是主要的广告服务器同步。
使改变只需要几个步骤,但我们发现重要的是要注意哪些服务器更改和导出现有的同步服务器设置到新服务器。注意:服务器不进入或走出分段自动模式;这一定是手动完成的。这意味着如果活动广告连接服务器由于任何原因,有人会采取分期的辅助服务器模式使它活跃。
我们建立服务器与Windows Server 2019 B,并加入我们的领域,但在安装广告连接,我们出口设置在服务器使用以下步骤:
- 在服务器,我们打开微软Azure Active Directory连接应用程序并选择“配置”。
- 我们选择“查看或导出当前配置”选项然后“下一个”。
- 在“回顾你的解决方案”,我们点击“出口设置”,然后“退出”。
- 此时,程序提示“保存位置”来拯救. json文件导出的配置设置。
导出服务器配置文件之后,我们继续配置服务器B,但在这一点上我们没有备用服务器。需要立即完成之前服务器B主动减少时间没有主动同步服务器。
接下来,我们导航到服务器B,安装广告连接,并开始Azure广告连接向导。接受许可协议之后,我们提示使用表达设置或自定义设置。我们点击“定制”。
我们检查进口同步设置,浏览从服务器导出的配置文件的位置,并点击“安装”。导入这个文件并不会自动使服务器B活性;晚些时候。
下一个屏幕是用户登录选项,这些是预先选择根据你的第一个广告连接的配置服务器(服务器在我们的例子中)。我们使用直通身份验证选项单点登录(SSO)。自动透传(广告连接服务器身份验证代理,但可以有多个代理设置不广告连接服务器。稍后将进行更详细的讨论)。我们点击“下一步”继续前进到下一屏幕。
Azure实例连接,我们需要提供凭证,属于在Azure“全球管理员”角色。我们进入,点击“下一步”。
你将被要求创建一个新的广告帐户或使用现有的一个。广告账户基本上是一个服务帐户查询on-prem广告和执行同步任务。容易,推荐的方法是创建一个新帐户,每个广告连接服务器,防止问题。我们选择的账户自动生成的,所以我们提供了一个企业的凭证管理域。我们完成后点击“OK”。
接下来的屏幕要求目录类型on-prem和Active directory域或森林信息连接。
我们选择“Active Directory目录类型,因为我们是一个Windows域商店。我们提供我的森林目录域的形式。地方,按“下一步”。
下一个屏幕确认提供的配置和笔记,比如广告回收站不活跃和设备回写设置。你可以回去跟微软的推荐配置完成之后,我们所做的,点击“退出”继续前进。
因为我们选择了SSO在安装之前,我们需要输入域管理员的凭证为那块配置广告。我们点击“下一步”。完成了!
配置服务器B时,服务器可以放在暂存模式,服务器B的分期模式使它活跃的广告连接同步服务器。只有其中一个服务器应该主动一次,防止同步冲突。
检查同步工作
验证同步工作从Azure,检查的Azure活动目录管理中心。导航Azure Active Directory - > Azure广告连接- > Azure广告连接的健康。从那里你可以访问“同步错误”和“同步服务”,这将给你一个好主意的健康on-prem环境和Azure实例之间同步。
如果您使用的是透传认证,去透传身份验证页面(Azure Active Directory - > Azure广告连接- >直通身份验证)。在这里您应该看到至少两个广告连接服务器代理,你可以添加额外的,non-AD连接代理通过单击“下载”按钮在页面的顶部。在我们的环境中,我们取得了所有活跃的域控制器透传身份验证代理,所以只有这些服务器的任务允许SSO身份验证。