隨手記錄: DirSync

顯示具有 DirSync 標籤的文章。顯示所有文章

2015年2月12日星期四

AADSync 同步什麼東西

中午12:32 群組, AADSync, Azure, DirSync, O365, Office 365 No comments

1.AADSync 會同步AD上的使用者、聯絡人、主管(如果有設使用者帳號的主管，主管可以直接看到下屬的行事曆，使用者不需另外設共用行事曆)

2.AADSync不會同步AD上的通訊群組，群組信箱要在 https://portal.office.com 的Exchange 的群組(不是Office 365系統管理中心的群組，Office 365系統中的群組是安全群組，不是通訊群組)功能中建立。

3.另外，使用者的 Alias 信箱，也是利用群組功能來建立。

4.所有的使用者名稱、聯絡人信箱地址等，都必須是唯一，不可以重覆

5.電子郵箱必須輸入，不然使用者預設信箱會變成 @domain.onmicrosoft.com

如果共用信箱不能直接加入外部聯絡人，必須使用 Exchange 郵件流程來達到目的。

建立共用信箱
建立郵件流程規則(系統管理員→Exchange→郵件流程)

收件者是群組信箱地址
點選下方的”更多選項”，然後在執行動作中選擇”新增收件者” ，輸入外部聯絡人信箱地址，或是從連絡人中選取。

PS.Office 365 管理帳號會登記一個信箱地址，如果沒有分配一個Office 365授權，該管理帳號就不會有信箱

例如：管理帳號是 mis@domain.com.tw，但是沒有分配Office 365授權，它就不會有信箱，寄到這個地址的信就會被退件。

而 mis@domain.com.tw 管理帳號已存在，所以也不能用來建立雲端群組信箱！

唯一的辦法是另外建立一個管理帳號，不要佔用群組信箱地址。然後把mis@domain.com.tw 管理帳號刪除掉。

在Office 365 Portal 刪除雲端帳號，會暫存到回收筒，必須將回收筒清除，才能重新建立 mis@domain.com.tw 群組信箱。

所以請以 PowerShell 執行下面的指令(需安裝 PowerShell for Azure Active Directory Module，安裝 AADSync 時也會安裝該模組)

// 連結 Microsoft Online Service，電腦會跳出視窗要您輸入 Azure 管理帳密
// 取得已刪除的使用者帳號 | 強制移除在資源回收筒的帳號
connect-msolservice
get-msoluser -returndeletedusers | remove-msoluser -removefromrecyclebin -force

再研究AADSync

下午5:06 AADSync, Azure, DirSync, Microsoft, MIS, O365, Office 365 No comments

AADSync 的架構是電腦上安裝SQL Express & Azure PowerShell Module

大致流程是

1.連接 AD Server，將資訊 export 到 SQL

2.連接Azure AD，將資訊 export 到 SQL

3.在SQL中比對兩者差異

4.將差異結果 Import 到 Azure AD。

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"
$aadConnector = “<CASE SENSITIVE AAD CONNECTOR NAME>”

Import-Module adsync

$gs = Get-ADSyncGlobalSettings
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.SynchronizationPolicy", String, SynchronizationGlobal, $null, $null, $null
$p.Value = "Delta"
$gs.Parameters.Remove($p.Name)
$gs.Parameters.Add($p)

Set-ADSyncGlobalSettings -GlobalSettings $gs

$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter “Microsoft.Synchronize.ForceFullPasswordSync”, String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

如何讓微軟網域帳密與Office 365同步

晚上7:30 AADSync, Azure, DirSync, Microsoft, MIS, O365, Office 365 2 comments

微軟又出了一個同步工具「Azure AD Connect」，以下網址是微軟提供的四種同步方式比較。

AADSync不是使用Windows整合式驗證，也不是系統服務！

因此，當網域管理者變更密碼時，會造成AADSync連接AD失敗，無法讀取帳號資訊，也就無法把正確資料同步到雲端！

所以在更改網域管理者密碼之後，請記得到AADSync裡去設定新的密碼！

公司最近租了Mirosoft Office 365 Business Premium ，所以自己花了一些時間去爬文，想讓網域帳號及密碼，跟微軟雲端帳號密碼同步；但是微軟雲端產品一直在變動，所以在網路上會找到以下三種方法，讓人搞不清楚。

使用 Azure Active Directory 同步工具(簡稱 DirSync)
使用 Forefront Identity Manager 2010 R2
Azure Active DirectorySynchronization Service (簡稱AADSync)

以下是從微軟官網抓下來的比較表：

現在要講的就是用 AADSync來進行同步，怎麼安裝及設定

AADSync 免費的部份可以做單向的同步，也就是從你的 AD Server將帳密同步到 O365 的使用者；日後管理帳密主要都是在你的AD Server上做。

如果要雙向同步，必須購買 AAD Premium 服務…

廢話不多說，直接講怎麼建置！

當然是您要先有微軟網域
在 AD Server上下載 Microsoft Azure Active Directory Sync Service套件，雖然下載是英文版，但是安裝過程都是中文。
這一步最重要，我就是被它呼巄了好久，這裡要輸入的並不是 Azure AD 的帳號，所以你也不用花時間去註冊 Azure AD 帳號；之前以為要輸入Azure AD帳號，就去註冊，偏偏該死的Azure網站驗證帳號不知出什麼問題，簡訊驗證不能發送，電話語音驗證也不行。這裡是要輸入Office 365的管理帳號！
到這一步，AADSync套件已經安裝完成，如果有什麼同步失敗的警告，先不要鳥它。把程式關掉之後，登出Windows，再重新登入，讓AADSync剛才修改的群組權限生效。
接下來，執行 Azure AD Sync 的 Synchronization Service。
在 Synchronization Service Manager 裡，點擊 Connectors
然後在你的網域名稱上 Double Click，開啟內容設定
然後點選左邊Connector Designer 裡的 Configure Directory Partitions，再點擊右邊下方的 Containers 按鍵。
輸入完網域管理者密碼後按下OK
接下來就是勾選要同步哪些 Containers (OU)
完成以上步驟後，就一路按 OK ，回到程式主畫面，這樣就完成了 AADSync 的安裝及設定。
但是要注意的是，AADSync預設是三小時才同步一次！如果您要手動進行動步也很簡單，就去執行 %ProgramFiles%\Microsoft Azure AD Sync\Bin\DirectorySyncClientCmd.exe，程式就會馬上進行同步！