Verbinden Sie Ihr AWS verwaltetes Microsoft AD mit Microsoft Entra Connect Sync - AWS Directory Service
VoraussetzungenErstellen Sie ein Active Directory Domain-BenutzerHerunterladen Entra Connect SyncAusführen Windows PowerShell ScriptInstallieren Entra Connect Sync

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbinden Sie Ihr AWS verwaltetes Microsoft AD mit Microsoft Entra Connect Sync

Dieses Tutorial führt Sie durch die für die Installation erforderlichen Schritte Microsoft Entra Connect Syncum deine zu synchronisieren Microsoft Entra IDzu Ihrem AWS Managed Microsoft AD.

In diesem Tutorial führen Sie folgende Aufgaben aus:

  1. Erstellen Sie einen AWS verwalteten Microsoft AD-Domänenbenutzer.

  2. Herunterladen Entra Connect Sync.

  3. Verwenden Sie Windows PowerShell um ein Skript auszuführen, um die entsprechenden Berechtigungen für den neu erstellten Benutzer bereitzustellen.

  4. Installieren Entra Connect Sync.

Voraussetzungen

Für dieses Tutorial benötigen Sie Folgendes:

Erstellen Sie ein Active Directory Domain-Benutzer

In diesem Tutorial wird davon ausgegangen, dass Sie bereits über ein AWS verwaltetes Microsoft AD verfügen sowie über ein EC2 Windows Serverinstanz mit Active Directory Administration Tools installiert. Weitere Informationen finden Sie unter Installation der Active Directory-Verwaltungstools für AWS verwaltetes Microsoft AD.

  1. Connect zu der Instanz her, in der Active Directory Administration Tools wurden installiert.

  2. Erstellen Sie einen AWS verwalteten Microsoft AD-Domänenbenutzer. Dieser Benutzer wird Active Directory Directory Service (AD DS) Connector account for Entra Connect Sync. Ausführliche Schritte zu diesem Vorgang finden Sie unterEinen AWS verwalteten Microsoft AD-Benutzer erstellen.

Herunterladen Entra Connect Sync

  • Herunterladen Entra Connect Sync von Microsoft Website auf der EC2 Instanz, bei der es sich um den AWS Managed Microsoft AD-Administrator handelt.

Warnung

Nicht öffnen oder ausführen Entra Connect Sync an diesem Punkt. In den nächsten Schritten werden die erforderlichen Berechtigungen für Ihren in Schritt 1 erstellten Domänenbenutzer bereitgestellt.

Ausführen Windows PowerShell Script

  • Öffnen PowerShell als Administrator und führen Sie das folgende Skript aus.

    Während das Skript ausgeführt wird, werden Sie aufgefordert, den sAMAccountNamen für den neu erstellten Domänenbenutzer aus Schritt 1 einzugeben.

    Anmerkung

    Im Folgenden finden Sie weitere Informationen zur Ausführung des Skripts:

    • Sie können das Skript mit der ps1 Erweiterung in einem Ordner wie speicherntemp. Dann können Sie Folgendes verwenden PowerShell Befehl zum Laden des Skripts:

      import-module "c:\temp\entra.ps1"

    • Nach dem Laden des Skripts können Sie den folgenden Befehl verwenden, um die erforderlichen Berechtigungen für die Ausführung des Skripts festzulegen, und ersetzen Entra_Service_Account_Name mit deinem Entra Name des Dienstkontos:

      Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}
Mehr anzeigenWeniger anzeigen

Installieren Entra Connect Sync

  1. Sobald das Skript abgeschlossen ist, können Sie das heruntergeladene Programm ausführen Microsoft Entra Connect (früher bekannt als Azure Active Directory Connect) Konfigurationsdatei.

  2. A Microsoft Azure Active Directory Connect Das Fenster wird geöffnet, nachdem die Konfigurationsdatei aus dem vorherigen Schritt ausgeführt wurde. Wählen Sie im Fenster mit den Express-Einstellungen die Option Anpassen aus.

    Microsoft Azure Active Directory Connect Fenster, in dem die Schaltfläche „Anpassen“ hervorgehoben ist.

  3. Aktivieren Sie im Fenster Erforderliche Komponenten installieren das Kontrollkästchen Bestehendes Dienstkonto verwenden. Geben Sie im Feld SERVICEACCOUNTNAMEund SERVICEACCOUNTPASSWORDden AD DS Connector account Name und Passwort für den Benutzer, den Sie in Schritt 1 erstellt haben. Zum Beispiel, wenn Ihr AD DS Connector account Name istentra, der Kontoname wärecorp\entra. Wählen Sie dann Installieren.

    Fenster „Erforderliche Komponenten installieren“. Wählen Sie „Bestehendes Dienstkonto und Domänenkonto verwenden“ und geben Sie den Namen und das Kennwort für das Dienstkonto an.

  4. Wählen Sie im Fenster für die Benutzeranmeldung eine der folgenden Optionen aus:

    1. Passthrough-Authentifizierung — Mit dieser Option können Sie sich bei Ihrem anmelden Active Directory mit Ihrem Benutzernamen und Passwort.

    2. Nicht konfigurieren — Auf diese Weise können Sie die Verbundanmeldung mit verwenden Microsoft Entra (früher bekannt als Azure Active Directory (Azure AD) oder Office 365.

      Wählen Sie dann Weiter.

  5. Auf dem Connect to AzureGeben Sie im Fenster Ihren globalen Administrator-Benutzernamen und Ihr Passwort für ein Entra ID und wählen Sie Weiter.

  6. Wählen Sie im Fenster Connect deine Verzeichnisse Active Directoryfür DIRECTORYTYPE. Wählen Sie die Gesamtstruktur für Ihr AWS verwaltetes Microsoft AD aus FOREST. Wählen Sie dann Verzeichnis hinzufügen aus.

  7. Es erscheint ein Popup-Fenster, in dem Sie nach Ihren Kontooptionen gefragt werden. Wählen Sie Bestehendes AD-Konto verwenden aus. Geben Sie den AD DS Connector account Benutzername und Passwort, die in Schritt 1 erstellt wurden, und wählen Sie dann OK. Wählen Sie dann Weiter.

    Popupfeld für das AD-Gesamtstrukturkonto mit der Auswahl „Bestehendes AD-Konto verwenden“ und dem angegebenen Domänenbenutzernamen und Kennwort.

  8. Auf dem Azure AD Wählen Sie im Anmeldefenster Weiter aus, ohne alle UPN Suffixe verifizierten Domains zuzuordnen. Dies gilt nur, wenn Sie keine verifizierte Vanity-Domain hinzugefügt haben Entra ID. Wählen Sie dann Weiter.

  9. Wählen Sie im Fenster zur Filterung von Domain/OU die Optionen aus, die Ihren Anforderungen entsprechen. Weitere Informationen finden Sie unter Entra Connect Sync: Konfigurieren Sie die Filterung in Microsoft -Dokumentation. Wählen Sie dann Weiter.

  10. Behalten Sie im Fenster Identifizieren von Benutzern, Filtern und optionale Funktionen die Standardwerte bei und wählen Sie Weiter aus.

  11. Überprüfen Sie im Fenster Konfigurieren die Konfigurationseinstellungen und wählen Sie Konfigurieren aus. Die Installation für Entra Connect Sync wird abgeschlossen und die Benutzer beginnen mit der Synchronisation mit Microsoft Entra ID.