先决条件创建 Active Directory 域用户下载 Entra Connect Sync 运行 Windows PowerShell 脚本安装 Entra Connect Sync

将 AWS Managed Microsoft AD 连接到 Microsoft Entra Connect Sync

本教程将引导您完成安装 Microsoft Entra Connect Sync 所需的步骤，以便将您的 Microsoft Entra ID 同步到 AWS Managed Microsoft AD。

在本教程中，您将执行以下操作：

创建 AWS Managed Microsoft AD 域用户。
下载 Entra Connect Sync。
使用 Windows PowerShell 运行脚本，以便为新创建的用户预置适当的权限。
安装 Entra Connect Sync。

先决条件

要完成本教程，您需要做以下准备：

AWS Managed Microsoft AD。有关更多信息，请参阅创建 AWS Managed Microsoft AD。
已加入您的 AWS Managed Microsoft AD 的 Amazon EC2 Windows Server 实例。有关更多信息，请参阅加入 Windows 实例。
已安装 Active Directory Administration Tools 用于管理 AWS Managed Microsoft AD 的 EC2 Windows Server。有关更多信息，请参阅为托管的 Microsoft AD 安装活动目录 AWS 管理工具。

创建 Active Directory 域用户

本教程假定您已拥有 AWS Managed Microsoft AD 和已安装 Active Directory Administration Tools 的 EC2 Windows Server 实例。有关更多信息，请参阅为托管的 Microsoft AD 安装活动目录 AWS 管理工具。

连接到已安装 Active Directory Administration Tools 的实例。
创建 AWS Managed Microsoft AD 域用户。此用户将成为用于 Entra Connect Sync 的 Active Directory Directory Service (AD DS) Connector account。有关此过程的详细步骤，请参阅创建 AWS Managed Microsoft AD 用户。

下载 Entra Connect Sync

将 Entra Connect Sync 从 Microsoft 网站下载到作为 AWS Managed Microsoft AD 管理员的 EC2 实例。

警告

此时请勿打开或运行 Entra Connect Sync。后续步骤将为在步骤 1 中创建的域用户提供必要的权限。

运行 Windows PowerShell 脚本

以管理员身份打开 PowerShell 并运行以下脚本。

当脚本正在运行时，系统将要求您输入步骤 1 中新创建的域用户的 sAMAccountName。
注意
有关运行脚本的更多信息，请参阅以下内容：
- 您可以将带有 ps1 扩展名的脚本保存到类似 temp 的文件夹中。然后您可以使用以下 PowerShell 命令加载脚本：
  
  import-module "c:\temp\entra.ps1"
- 加载脚本后，您可以使用以下命令来设置运行脚本所需的权限，将 Entra_Service_Account_Name 替换为您的 Entra 服务账户名称：
  
  Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name


$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}

显示更多

显示更少

安装 Entra Connect Sync

脚本完成后，您可以运行下载的 Microsoft Entra Connect（以前称为 Azure Active Directory Connect）配置文件。
运行上一步中的配置文件后，将打开 Microsoft Azure Active Directory Connect 窗口。在快速设置窗口中，选择自定义。
在安装必需组件窗口中，选中使用现有服务账户复选框。在服务账户名称和服务账户密码中，输入您在步骤 1 中创建的用户的 AD DS Connector account名称和密码。例如，如果您的 AD DS Connector account名称为 entra，则账户名为 corp\entra。然后选择安装。
在用户登录窗口中，选择以下选项之一：
1. 直通身份验证：此选项允许您使用用户名和密码登录 Active Directory。
2. 不配置：此选项允许您使用 Microsoft Entra（以前称为 Azure Active Directory（Azure AD））或 Office 365 联合登录。
  
  然后选择下一步。
在连接到 Azure 窗口中，输入 Entra ID 的全局管理员用户名和密码，然后选择下一步。
在连接您的目录窗口中，对于目录类型选择 Active Directory。对于林，为您的 AWS Managed Microsoft AD 选择林。然后选择添加目录。
将显示弹出框，要求您选择账户选项。选择使用现有 AD 账户。输入在步骤 1 中创建的 AD DS Connector account用户名和密码，然后选择确定。然后选择下一步。
在 Azure AD 登录窗口中，仅当您未将经过验证的虚拟域添加到 Entra ID 时，选择继续而不将所有 UPN 后缀匹配到已验证域。然后选择下一步。
在域/OU 筛选窗口中，选择适合您需求的选项。有关更多信息，请参阅 Microsoft 文档中的 Entra Connect Sync：配置筛选。然后选择下一步。
在识别用户、筛选和可选功能窗口中，保留默认值并选择下一步。
在配置窗口中，查看配置设置并选择配置。Entra Connect Sync 的安装将完成，用户将开始与 Microsoft Entra ID 同步。