Bagikan melalui

Topologi untuk Microsoft Entra Connect

  • Artikel

Artikel ini menjelaskan berbagai topologi lokal dan Microsoft Entra yang menggunakan Sinkronisasi Microsoft Entra Connect sebagai solusi integrasi utama. Artikel ini menyertakan konfigurasi yang didukung dan tidak didukung.

Berikut legenda untuk gambar dalam artikel:

Deskripsi Simbol
Forest Active Directory di lokasi Forest Active Directory lokal
Active Directory lokal dengan impor yang difilter Direktori Aktif dengan impor yang difilter
Server Sinkronisasi Microsoft Entra Connect Server Sinkronisasi Microsoft Entra Connect
"Server Microsoft Entra Connect Sync dalam 'mode penahapan'" Server
GALSync dengan Microsoft Identity Manager (MIM) 2016 GALSync dengan MIM 2016
Server Sinkronisasi Microsoft Entra Connect, terperinci Server Sinkronisasi Microsoft Entra Connect, terperinci
Microsoft Entra ID Microsoft Entra ID
Skenario yang tidak didukung Skenario yang tidak didukung

Penting

Microsoft tidak mendukung pengubahan atau pengoperasian Sinkronisasi Microsoft Entra Connect di luar konfigurasi atau tindakan yang didokumentasikan secara resmi. Salah satu konfigurasi atau tindakan ini dapat mengakibatkan status Microsoft Entra Connect Sync yang tidak konsisten atau tidak didukung. Akibatnya, Microsoft tidak dapat memberikan dukungan teknis untuk penyebaran tersebut.

"Hutan tunggal, penyewa tunggal Microsoft Entra"

Topologi untuk satu forest dan satu penyewa

Topologi yang paling umum adalah satu forest di lokasi, dengan satu atau beberapa domain, dan satu tenant Microsoft Entra. Untuk autentikasi Microsoft Entra, sinkronisasi hash kata sandi digunakan. Penginstalan ekspres Microsoft Entra Connect hanya mendukung topologi ini.

Forest tunggal, beberapa server sinkronisasi ke dalam satu tenant Microsoft Entra

Topologi yang tidak didukung dan terfilter untuk satu forest

Menggunakan beberapa server Sinkronisasi Microsoft Entra Connect yang terhubung ke tenant Microsoft Entra yang sama tidak didukung, kecuali untuk server penahapan . Hal ini tidak didukung meski server ini dikonfigurasi untuk disinkronkan dengan serangkaian objek yang saling eksklusif. Anda mungkin telah mempertimbangkan topologi ini jika Anda tidak dapat menjangkau semua domain dalam forest dari satu server, atau jika Anda ingin mendistribusikan beban di beberapa server. (Tiada kesalahan yang terjadi ketika server Azure AD Sync baru dikonfigurasi untuk forest Microsoft Entra yang baru dan domain anak yang telah terverifikasi.)

Beberapa hutan, penyewa Microsoft Entra tunggal

Topologi untuk beberapa hutan dan satu penyewa

Banyak organisasi memiliki lingkungan dengan beberapa forest Active Directory lokal. Ada beberapa alasan untuk memiliki lebih dari satu hutan Active Directory lokal. Contoh umumnya adalah desain yang melibatkan hutan akun dan sumber daya serta hasil dari penggabungan atau akuisisi.

Ketika Anda memiliki beberapa hutan, semua hutan harus dapat dijangkau oleh satu server Sinkronisasi Microsoft Entra Connect. Server ini harus digabungkan dengan domain. Jika perlu menjangkau semua hutan, Anda dapat menempatkan server dalam jaringan perimeter (juga dikenal sebagai DMZ, zona demiliterisasi, dan jaringan perimeter).

Wizard penginstalan Microsoft Entra Connect menawarkan beberapa opsi untuk mengonsolidasikan pengguna yang diwakili di beberapa forest. Tujuannya adalah bahwa pengguna hanya diwakili sekali di ID Microsoft Entra. Ada beberapa topologi umum yang dapat dikonfigurasi di jalur penginstalan kustom dalam wizard penginstalan. Di halaman Mengidentifikasi pengguna secara unik, pilih opsi terkait yang mewakili topologi Anda. Konfigurasi konsolidasi hanya berlaku untuk pengguna. Grup duplikat tidak dikonsolidasikan dengan konfigurasi default.

Topologi umum dibahas di bagian tentang topologi terpisah, mesh penuh, dan topologi sumber daya akun.

Konfigurasi default di Sinkronisasi Microsoft Entra Connect mengasumsikan:

  • Setiap pengguna hanya memiliki satu akun yang diaktifkan, dan forest tempat akun ini berada digunakan untuk mengautentikasi pengguna. Asumsi ini untuk sinkronisasi hash kata sandi, autentikasi pass-through dan federasi. UserPrincipalName dan sourceAnchor/immutableID berasal dari hutan ini.
  • Setiap pengguna hanya memiliki satu kotak surat.
  • Forest yang menampung kotak surat pengguna memiliki kualitas data terbaik untuk atribut yang terlihat di Daftar Alamat Global Exchange (GAL). Jika tidak ada kotak surat untuk pengguna, forest apa pun dapat digunakan untuk menyediakan nilai atribut ini.
  • Jika Anda memiliki kotak surat tertaut, akan ada juga akun dalam forest lainnya yang digunakan untuk proses masuk.

Jika lingkungan Anda tidak cocok dengan asumsi ini, hal-hal berikut terjadi:

  • Jika Anda memiliki lebih dari satu akun aktif atau lebih dari satu kotak surat, mesin sinkronisasi akan memilih satu dan mengabaikan yang lain.
  • Kotak surat tertaut yang tidak memiliki akun aktif lainnya tidak diekspor ke Microsoft Entra ID. Akun pengguna tidak diwakili sebagai anggota di grup mana pun. Kotak surat tertaut di DirSync selalu dinyatakan sebagai kotak surat normal. Perubahan ini sebenarnya adalah perilaku yang berbeda untuk mendukung skenario beberapa forest dengan lebih baik.

Anda dapat menemukan detail selengkapnya di Memahami konfigurasi default.

Beberapa hutan, beberapa server sinkronisasi ke satu penyewa Microsoft Entra

Topologi yang tidak didukung untuk banyak forest dan banyak server sinkronisasi

Memiliki lebih dari satu server Sinkronisasi Microsoft Entra Connect yang tersambung ke satu penyewa Microsoft Entra tidak didukung. Pengecualian adalah penggunaan server penahapan.

Topologi ini berbeda dari yang berikut ini beberapa server sinkronisasi tersambung ke satu penyewa Microsoft Entra tidak didukung. (Meskipun tidak didukung, ini masih berfungsi.)

Beberapa hutan, satu server sinkronisasi, pengguna diwakili hanya dalam satu direktori

Opsi untuk menyatakan pengguna hanya sekali di semua direktori

Penggambaran berbagai hutan dan topologi yang terpisah

Dalam lingkungan ini, semua hutan di tempat diperlakukan sebagai entitas terpisah. Tidak ada pengguna yang ada di hutan lain. Setiap forest memiliki organisasi Exchange-nya sendiri, dan tidak ada GALSync di antara forest. Topologi ini mungkin berupa situasi setelah merger/akuisisi atau dalam organisasi tempat setiap unit bisnis beroperasi secara independen. Hutan-hutan ini berada di organisasi yang sama di Microsoft Entra ID dan muncul dengan GAL terpadu. Dalam gambar sebelumnya, setiap objek di setiap forest diwakili sekali dalam metaverse dan dikumpulkan dalam tenant Microsoft Entra target.

Beberapa hutan: mencocokkan pengguna

Yang umum untuk semua skenario ini adalah bahwa grup distribusi dan keamanan dapat berisi gabungan pengguna, kontak, dan Foreign Security Principal (FSP). FSP digunakan dalam Active Directory Domain Services (AD DS) untuk mewakili anggota dari forest lain dalam sebuah grup keamanan. Semua FSP dipetakan ke objek nyata dalam Microsoft Entra ID.

Beberapa hutan: koneksi penuh dengan GALSync opsional

Opsi untuk menggunakan atribut email untuk pencocokan saat identitas pengguna ada di beberapa direktori

Topologi full mesh untuk beberapa hutan

Topologi mesh penuh memungkinkan pengguna dan sumber daya untuk ditempatkan di forest mana pun. Umumnya, ada hubungan saling percaya dua arah antarhutan.

Jika Exchange ada di lebih dari satu forest, mungkin ada solusi GALSync lokal (opsional). Setiap pengguna kemudian direpresentasikan sebagai kontak di semua forest lainnya. GALSync umumnya diimplementasikan melalui Microsoft Identity Manager. Microsoft Entra Connect tidak dapat digunakan untuk GALSync lokal.

Dalam skenario ini, objek identitas digabungkan melalui atribut email. Pengguna yang memiliki kotak surat dalam satu forest digabungkan dengan kontak dalam forest lainnya.

Beberapa hutan: hutan sumber daya-akun

Opsi untuk menggunakan atribut ObjectSID dan msExchMasterAccountSID untuk dicocokkan saat identitas ada di antara beberapa direktori

Topologi hutan akun-sumber daya untuk beberapa hutan

Dalam topologi forest akun-sumber daya, Anda memiliki satu atau beberapa forest akun dengan akun pengguna aktif. Anda juga memiliki satu atau beberapa hutan sumber daya dengan akun yang dinonaktifkan.

Dalam skenario ini, satu (atau beberapa) hutan sumber daya mempercayai semua hutan akun. Forest sumber daya biasanya memiliki skema Active Directory yang diperluas dengan Exchange dan Lync. Semua layanan Exchange dan Lync, bersama dengan layanan berbagi lainnya, ditempatkan di hutan ini. Pengguna memiliki akun pengguna yang dinonaktifkan di forest ini, dan kotak surat ditautkan ke forest akun.

Pertimbangan Microsoft 365 dan topologi

Beberapa beban kerja Microsoft 365 memiliki batasan tertentu di topologi yang didukung:

Beban kerja Batasan
Exchange Online Untuk informasi selengkapnya tentang topologi hibrid yang didukung oleh Exchange Online, lihat Penyebaran hibrid dengan beberapa forest Direktori Aktif.
Skype for Business Saat Anda menggunakan beberapa forest lokal, hanya topologi forest sumber daya akun yang didukung. Untuk informasi selengkapnya, lihat Persyaratan lingkungan untuk Skype for Business Server 2015.

Jika berupa organisasi yang lebih besar, Anda harus mempertimbangkan untuk menggunakan fitur Microsoft 365 PreferredDataLocation. Hal ini memungkinkan Anda menentukan wilayah pusat data mana tempat sumber daya pengguna berada.

Server tahap uji

Server penahapan dalam topologi

Microsoft Entra Connect mendukung penginstalan server kedua dalam penahapan mode. Server dalam mode ini membaca data dari semua direktori yang terhubung tetapi tidak menulis apa pun ke direktori yang tersambung. Ini menggunakan siklus sinkronisasi normal, sehingga memiliki salinan data identitas yang terbaru.

Dalam situasi bencana di mana server utama gagal, Anda dapat beralih ke server penahapan. Anda melakukan ini di wizard Microsoft Entra Connect. Server kedua ini dapat ditemukan di pusat data yang berbeda karena tidak ada infrastruktur yang dibagikan dengan server utama. Anda harus menyalin setiap perubahan konfigurasi secara manual yang dilakukan di server utama ke server kedua.

Anda dapat menggunakan server pementasan untuk menguji konfigurasi kustom baru dan dampaknya pada data Anda. Anda dapat meninjau perubahan dan menyesuaikan konfigurasi. Ketika Anda merasa puas dengan konfigurasi baru, Anda dapat menjadikan server penahapan sebagai server aktif dan mengatur server aktif lama ke mode penahapan.

Anda juga dapat menggunakan metode ini untuk mengganti server sinkronisasi aktif. Siapkan server baru dan atur ke mode pengujian. Pastikan kondisinya baik, nonaktifkan mode penahapan sehingga menjadi aktif, dan matikan server yang saat ini aktif.

Anda dapat memiliki lebih dari satu server penahapan jika ingin memiliki beberapa cadangan di pusat data yang berbeda.

Beberapa penyewa Microsoft Entra

Kami merekomendasikan memiliki satu tenant di Microsoft Entra ID untuk suatu organisasi. Sebelum Anda berencana menggunakan beberapa penyewa Microsoft Entra, lihat artikel Manajemen unit administratif di ID Microsoft Entra. Ini mencakup skenario umum saat Anda dapat menggunakan satu penyewa.

Menyinkronkan objek AD ke beberapa tenant Microsoft Entra

Diagram yang memperlihatkan topologi beberapa penyewa Microsoft Entra.

Topologi ini menerapkan kasus penggunaan berikut:

  • Microsoft Entra Connect dapat menyinkronkan pengguna, grup, dan kontak dari satu Direktori Aktif ke beberapa penyewa Microsoft Entra. Penyewa ini dapat berada di lingkungan Azure yang berbeda, seperti Microsoft Azure yang dioperasikan oleh lingkungan 21Vianet atau lingkungan Azure Government, tetapi mereka juga dapat berada di lingkungan Azure yang sama, seperti dua penyewa yang keduanya berada di Azure Commercial. Untuk informasi selengkapnya tentang opsi, lihat Merencanakan identitas untuk aplikasi Azure Government.
  • Jangkar Sumber yang sama dapat digunakan untuk satu objek dalam penyewa yang berbeda (tetapi tidak untuk beberapa objek dalam penyewa yang sama). (Domain terverifikasi tidak boleh sama di dua penyewa. Detail lebih lanjut diperlukan untuk mengaktifkan objek yang sama agar memiliki dua UPN.)
  • Anda perlu menyebarkan server Microsoft Entra Connect untuk setiap penyewa Microsoft Entra yang ingin Anda sinkronkan - satu server Microsoft Entra Connect tidak dapat disinkronkan ke lebih dari satu penyewa Microsoft Entra.
  • Diperbolehkan untuk memiliki cakupan sinkronisasi yang berbeda dan aturan sinkronisasi yang berbeda untuk penyewa yang berbeda.
  • Hanya satu sinkronisasi tenant Microsoft Entra yang dapat dikonfigurasi untuk menulis kembali ke Active Directory untuk objek yang sama. Ini termasuk penulisan ulang perangkat dan grup bersama dengan konfigurasi Hybrid Exchange – fitur-fitur ini hanya dapat dikonfigurasi dalam satu penyewa. Satu-satunya pengecualian di sini adalah Kata Sandi Tulis Balik - lihat di bawah ini.
  • Dukungan tersedia untuk mengonfigurasi Password Hash Sync dari Active Directory ke beberapa tenant Microsoft Entra untuk objek pengguna yang sama. Jika Kata Sandi Hash Sync diaktifkan untuk penyewa, maka Kata Sandi Tulis Balik dapat diaktifkan juga, dan ini dapat dilakukan pada beberapa penyewa: jika kata sandi diubah pada satu penyewa, maka kata sandi tulis balik akan memperbaruinya di Active Directory Domain Services, dan Kata Sandi Hash Sync akan memperbarui kata sandi di penyewa lain.
  • Tidak didukung untuk menambahkan dan memverifikasi nama domain kustom yang sama di lebih dari satu penyewa Microsoft Entra, bahkan jika penyewa ini berada di lingkungan Azure yang berbeda.
  • Tidak tersedia dukungan untuk mengonfigurasi pengalaman hibrid yang menggunakan konfigurasi tingkat hutan di AD, seperti Seamless SSO dan gabungan hibrid Microsoft Entra (pendekatan yang tidak ditargetkan), dengan lebih dari satu penyewa. Melakukan hal itu akan mengganti konfigurasi penyewa lain, membuatnya tidak lagi dapat digunakan. Anda dapat menemukan informasi tambahan dalam Merencanakan penyebaran gabungan hibrid Microsoft Entra Anda.
  • Anda dapat menyinkronkan objek perangkat ke lebih dari satu penyewa, tetapi perangkat dapat bergabung secara hibrida dengan Microsoft Entra hanya ke satu penyewa.
  • Setiap instans Microsoft Entra Connect harus berjalan pada komputer yang bergabung dengan domain.

Catatan

Sinkronisasi Daftar Alamat Global (GalSync) tidak dilakukan secara otomatis dalam topologi ini dan memerlukan implementasi MIM kustom tambahan untuk memastikan setiap penyewa memiliki Daftar Alamat Global (GAL) lengkap di Exchange Online dan Skype for Business Online.

GALSync dengan menggunakan writeback

Topologi yang tidak didukung untuk beberapa hutan direktori dan beberapa direktori, dengan GALSync yang berfokus pada ID Microsoft Entra Topologi yang tidak didukung untuk beberapa hutan direktori dan beberapa direktori, dengan GALSync yang berfokus pada Active Directory lokal

GALSync dengan server sinkronisasi lokal

GALSync dalam sebuah topologi untuk berbagai forest dan direktori

Anda dapat menggunakan Microsoft Identity Manager lokal untuk menyinkronkan pengguna (melalui GALSync) antara dua organisasi Exchange. Pengguna dalam satu organisasi muncul sebagai kontak/pengguna asing di organisasi lain. Instans Active Directory lokal yang berbeda ini kemudian dapat disinkronkan dengan penyewa Microsoft Entra mereka sendiri.

Menggunakan klien yang tidak sah untuk mengakses backend Microsoft Entra Connect

Menggunakan klien yang tidak sah untuk mengakses backend Microsoft Entra Connect

Server Microsoft Entra Connect berkomunikasi dengan MICROSOFT Entra ID melalui backend Microsoft Entra Connect. Satu-satunya perangkat lunak yang dapat digunakan untuk berkomunikasi dengan backend ini adalah Microsoft Entra Connect. Tidak didukung untuk berkomunikasi dengan backend Microsoft Entra Connect menggunakan perangkat lunak atau metode lain.

Langkah berikutnya

Untuk mempelajari cara menginstal Microsoft Entra Connect untuk skenario ini, lihat Penginstalan kustom Microsoft Entra Connect.

Pelajari selengkapnya tentang konfigurasi Sinkronisasi Microsoft Entra Connect.

Pelajari selengkapnya tentang mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.