必要條件建立 Active Directory 網域使用者下載 Entra Connect Sync 執行 Windows PowerShell 指令碼安裝 Entra Connect Sync

將您的 AWS Managed Microsoft AD 連線至 Microsoft Entra Connect Sync

本教學課程會逐步引導您完成安裝的必要步驟 Microsoft Entra Connect Sync 同步您的 Microsoft Entra ID 您的 AWS Managed Microsoft AD。

在此教學課程中，您將執行下列操作：

建立 AWS Managed Microsoft AD 網域使用者。
下載 Entra Connect Sync.
使用 Windows PowerShell 執行指令碼，為新建立的使用者佈建適當的許可。
安裝 Entra Connect Sync.

必要條件

完成本教學課程需要以下各項：

AWS 受管 Microsoft AD。如需詳細資訊，請參閱建立 AWS Managed Microsoft AD。
Amazon EC2 Windows 伺服器執行個體已加入您的 AWS Managed Microsoft AD。如需詳細資訊，請參閱加入 Windows 執行個體。
一個 EC2 Windows 具有的伺服器 Active Directory Administration Tools 安裝以管理 AWS Managed Microsoft AD。如需詳細資訊，請參閱安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具。

建立 Active Directory 網域使用者

本教學課程假設您已擁有 AWS Managed Microsoft AD 以及 EC2 Windows 使用的伺服器執行個體 Active Directory Administration Tools 已安裝。如需詳細資訊，請參閱安裝 AWS Managed Microsoft AD 的 Active Directory 管理工具。

連線至的執行個體 Active Directory Administration Tools 已安裝。
建立 AWS Managed Microsoft AD 網域使用者。此使用者將成為 Active Directory Directory Service (AD DS) Connector account for Entra Connect Sync。如需此程序的詳細步驟，請參閱建立 AWS Managed Microsoft AD 使用者。

下載 Entra Connect Sync

下載 Entra Connect Sync 從 Microsoft 網站到作為 AWS Managed Microsoft AD 管理員的EC2執行個體。

警告

請勿開啟或執行 Entra Connect Sync 此時。後續步驟將為步驟 1 中建立的網域使用者佈建必要的許可。

執行 Windows PowerShell 指令碼

開啟 PowerShell 並執行下列指令碼。

指令碼執行時，系統會要求您輸入步驟 1 中新建立網域使用者sAMAccount的名稱。
注意
如需執行指令碼的詳細資訊，請參閱下列內容：
- 您可以將具有 ps1 副檔名的指令碼儲存到類似的資料夾temp。然後，您可以使用下列 PowerShell 命令以載入指令碼：
  
  import-module "c:\temp\entra.ps1"
- 載入指令碼後，您可以使用下列命令來設定執行指令碼的必要許可，取代 Entra_Service_Account_Name 使用您的 Entra 服務帳戶名稱：
  
  Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name


$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}

顯示較多

顯示較少

安裝 Entra Connect Sync

指令碼完成後，您可以執行下載的 Microsoft Entra Connect （先前稱為 Azure Active Directory Connect）組態檔案。
A Microsoft Azure Active Directory Connect 視窗會在執行上一個步驟的組態檔案後開啟。在 Express Settings 視窗中，選取自訂。
在安裝必要元件視窗中，選取使用現有服務帳戶核取方塊。在 SERVICEACCOUNTNAME和 SERVICE ACCOUNT PASSWORD中，輸入 AD DS Connector account 您在步驟 1 中建立的使用者名稱和密碼。例如，如果您的 AD DS Connector account 名稱為 entra，帳戶名稱為 corp\entra。然後選取安裝。
在使用者登入視窗中，選取下列其中一個選項：
1. 傳遞身分驗證 - 此選項可讓您登入您的 Active Directory 您的使用者名稱和密碼。
2. 請勿設定 - 這可讓您搭配使用聯合登入 Microsoft Entra （先前稱為 Azure Active Directory (Azure AD））或 Office 365.
  
  然後選取下一個 。
在連線至上 Azure 視窗，輸入的 Global Administrator 使用者名稱和密碼 Entra ID 並選取下一個 。
在連接目錄視窗中，選擇 Active Directory 適用於 DIRECTORY TYPE。選擇 AWS Managed Microsoft AD for 的樹系FOREST。然後選取新增目錄 。
隨即出現一個快顯方塊，要求您提供帳戶選項。選取使用現有的 AD 帳戶 。輸入 AD DS Connector account 在步驟 1 中建立的使用者名稱和密碼，然後選擇確定。然後選取下一個 。
在上 Azure AD 登入視窗，選取繼續，而不將所有字UPN尾與已驗證網域相符，僅當您沒有將已驗證的虛設網域新增至時 Entra ID。然後選取下一個 。
在網域/OU 篩選視窗中，選取符合您需求的選項。如需詳細資訊，請參閱 Entra Connect Sync：在中設定篩選 Microsoft 文件中)。然後選取下一個 。
在識別使用者、篩選和選用功能視窗中，保留預設值，然後選取下一個 。
在設定視窗中，檢閱組態設定，然後選取設定。的安裝 Entra Connect Sync 將定案，使用者將開始與同步 Microsoft Entra ID.