IDFIX on-prem Active Directory перед синхронізацією з Azure AD

Якщо ви плануєте налаштувати синхронізацію вашого локального (On-Prem) Active Directory в Active Directory Office 365/Azure за допомогою роз'єму Azure AD (AADCONNECT), то перед встановленням його потрібно перевірити атрибути об'єктів у ваших локальних додаваннях з сумісністю з сумісністю Azure ad.

Microsoft розробила спеціальну утиліту Microsoft Office 365 Idfix (Інструмент виправлення помилок синхронізації каталогу) для перевірки локального Active Directory. Утиліта IDFIX дозволяє сканувати ваші додавання та пошук користувачів, контактів або груп, які з якихось причин не можуть синхронізуватися з Azure AD.

IDFIX ідентифікує найпоширеніші помилки в атрибутах об'єктів Active Directory:

• Неприйнятні символи в назвах об'єктів AD (включаючи початкові та кінцеві прогалини);
• Дублікат;
• Неприйнятні адреси SMTP, помилки в Mailnickname;
• Об'єкти з атрибутами, що перевищують обмеження;
• Наявність правильних суфіксів маршруту (userprincipalname).

Як зазначає Microsoft, більше половини проблем, з якими вирішують клієнти при обробці помилок синхронізації з AAD, пов'язані з неправильно заповненими проксіадрестами та атрибутами та дублікатами користувача та дублікатами.

Утиліта IDFIX зберігається на Github (https: // github.Com/microsoft/idfix), і ви можете завантажити файл налаштування налаштування.Exe за допомогою прямого посилання. IDFIX - це програма Clickonce, тому для встановлення його знадобиться доступ до Інтернету, інакше з’явиться помилка:

Помилка, яка намагається встановити IDFIX Помилка: сталася помилка, намагаючись завантажити 'https: // raw.Githubusercontent.Com/microsoft/idfix/master/publish/idfix.Застосування '.

Крім того, однакова помилка з'являється при спробі встановити IDFIX у Windows Server 2016/2019. Щоб виправити помилку, потрібно тимчасово включити кешування SSL в реєстрі:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Налаштування Інтернету] "DICABLECACHINGOSSLPAGES" = DWORD: 0000000000

Використовуйте команду:
Reg Додати "hkey_current_user \ програмне забезпечення \ microsoft \ windows \ currentversion \ Інтернет -налаштування" /v disablecachingofslpages /t reg_dword /d 000000 /f
Після цього встановлення IDFIX почнеться нормально.

Після закінчення роботи з IDFIX встановіть значення DisableCachingofSslpages, що дорівнює 1.

Ви можете встановити утиліту IDFIX на будь -який доменний комп'ютер. Запустіть утиліту та натисніть кнопку запиту.

IDFIX потребуватиме версії Microsoft .Чиста рамка 4.п’ять.2 або вище

Утиліта IDFIX підключиться до вашого локального доменного Active Directory та відображатиме список об'єктів, які потрібно виправити перед синхронізацією в Azure.

У нашому прикладі IDFIX знайшов кілька неправильних об'єктів в AD з помилками трьох типів:

1. DisplayName порожній атрибут на одному обліковому записі ( DisplayName = Порожній );
2. Ті ж значення атрибута пошти у кількох користувачів ( Пошта =Дублікат );
3. Неемартизований userprincipalname (від домену .Loc) з трьома користувачами ( Userprincipalname =ТОПЛЕВЕЛЬНИЙ ).

Також можливі такі помилки:

• Характер - Неправильні символи в атрибуті;
• Формат - Неправильний формат атрибутів (наприклад, адреси SMTP у неправильному форматі);
• Довжина - перевищив довжину атрибута.

Якщо ви плануєте синхронізувати користувачів, знайдені в Azure AD, вам потрібно виправити ці помилки. У полі дії ви можете вибрати дію, яку ви хочете виконати, із знайденими атрибутами оголошення (редагувати, видаляти, завершити) об'єкти. Якщо ви вибрали редагування, ви можете вказати нове значення атрибута в полі Оновлення.

Щоб застосувати зміни, натисніть кнопку Прийняти -> Застосувати. Зміни застосовуються лише до записів, для яких встановлені значення в полі дії.

Ви також можете вивантажити знайдений список об'єктів та помилок у файлі CSV. Ви можете проаналізувати проблеми, знайдені в Excel, а потім внести зміни в рекламу, використовуючи стандартні команди PowerShell для роботи з об'єктами Active Directory: Set -aduser, Set-Dragroup, Set-Dcoputer і T.D.

Якщо ви плануєте синхронізуватися в Azure лише частина вашого каталогу Active Directory, ви можете використовувати Налаштування Вкажіть критерії для зразків об'єктів AD для аналізу (за допомогою фільтра LDAP). За допомогою База пошуку Ви можете вказати OU для аналізу.

Утиліта IDFIX дозволяє знайти та виправити велику кількість проблем, які можуть перешкоджати синхронізації користувачів, контактів та груп з локального Active Directory в Azure AD (Microsoft 365). Не забудьте перевірити свій ґрунтовий активний каталог перед налаштуванням синхронізації через Azure AD Connect.