【AAD Connect】01：AAD Connect把本地AD账户同步到Office365（AD域账户迁移）

前言

现在很多企业都会遇到把本地AD账号同步到Office365上，接下来就和大家一起了解一下，如果通过AAD Connect来进行同步操作

【AAD Connect】01：AAD Connect把本地AD账户同步到Office365（AD域账户迁移）

【AAD Connect】02：本地AD账户同步到O365报错：DirectoryReplicationServices.DrsException: RPC Error 8453复制访问被拒绝

【AAD Connect】03：使用AAD Connect同步到Office365时的同步规则（AD账号同步到O365）

【AAD Connect】04：AD账户同步到O365报错：同步服务未运行，启动“ADSync”服务或Unable to connect to the Synchronization Service

【AAD Connect】05：通过AAD Connect疑难解答检查同步问题，以及根据提示如何解决问题（AD账户迁移到O365）

环境

系统：windows server R2（域控服务器）

软件：Microsoft Azure Active Directory Connect（本地安装）

O365：AAD

同步步骤

一、在域服务器中安装AAD Connect

1、下载Microsoft Azure Active Directory Connect

2、安装并配置Azure AD Connect

稍等片刻后会显示如下界面，勾选我同意，点击继续

选择“自定义”

安装所需的组件界面中，保持默认，点击“安装”

在“用户登录”界面选择“密码哈希同步”，点击“下一步”

在“连接到Azure AD” 界面，属于O365管理员账号，点击“下一步”

点击下一步后，系统会自动进行验证

在“连接目录”界面，点击“添加目录”

选择“使用现有的AD账号”，输入域用户名和密码，点击“确定”

注意：需要把lisi的账号在ADSI编辑器中设置权限

注意：域用户名不能使用域管理员账号，原因如下

从生成1.4.18.0 中，不能使用企业管理员帐户或域管理员帐户作为 Azure AD DS 连接器帐户。当你选择 "使用现有帐户" 时，如果你尝试输入企业管理员帐户或域管理员帐户，你将看到以下错误： "不允许对 AD 林帐户使用企业或域管理员帐户。让 Azure AD Connect 创建帐户，或指定具有正确权限的同步帐户。 "

配置目录完成后，点击“下一步”

在“Azure AD登录”界面中，查看本地 Azure AD DS 中 (UPN) 域中的用户主体名称，这些 UPN 域已在 Azure AD 中进行了验证。

查看标记为 "未添加" 或 "未验证" 的每个域。请确保已在 Azure AD 中验证你使用的域。验证域后，选择 "循环刷新" 图标。

其他知识点：有关UPN可以在AD域和信任关系中进行设置，如下（可跳过）

3、按照“未验证”状态进行同步（在AAD中没有添加自定义，同步后会保持office365默认域名）

有关域名的申请、AAD中添加自定义域名、AAD Connect中配置自定义域名请关注后期博文

微软官网对如下三种状态进行了相关说明，如下

Azure AD Connect 列出了为域定义的 UPN 后缀，并尝试在 Azure AD 中将其与自定义域进行匹配。然后它会帮助你执行需要执行的相应操作。Azure AD 登录页列出了为本地 Active directory 定义的 UPN 后缀，并根据每个后缀显示相应的状态。状态值可以是下列其中一项：

基于此暂时不考虑“未验证”状态，会在Azure AD Connect配置界面，勾选“继续但不匹配以验证域的所有UPN后缀”，点击“下一步”

在“域/OU筛选”界面选择要同步的OU，点击下一步

在“标识用户”界面保持默认，点击“下一步”

在“筛选”界面，保持默认，点击“下一步”

在“可选功能”界面，保持默认，点击“下一步”

在“配置”界面，保持默认，点击“安装”

点击“安装”后，开始自动执行

配置完成后，如下

下来打来Azure AD admin center或Office 365 admin center看一下同步效果，已经同步成功了

试着用其中一个账号登录，结果提示账号或密码错误（登录密码为AD域账号密码），就是说用户的密码没有同步过来

出现此问题可参考【AAD Connect】通过AAD Connect同步用户密码报错：DirectoryReplicationServices.DrsException: RPC Error 8453复制访问被拒绝

4、账号和密码全部同步后，试着用其中一个账号登录，可以看到可以正常登录

说明：出现如上提示是因为没有给该用户分配license

至此，本地AD账户同步到Office365就操作完成了，如上步骤如有错漏，请大家及时指出，多谢