Azure AD Domain Services 密码同步配置指南：同步租户场景详解

前言

在现代企业IT架构中，身份认证是基础安全服务的重要组成部分。Azure AD Domain Services（Azure AD DS）作为微软提供的托管域服务，能够帮助企业在云环境中快速部署域控制器功能，而无需自行维护基础设施。本文将重点介绍在同步租户（即使用Azure AD Connect与本地AD同步的租户）场景下，如何正确配置密码同步以确保用户能够使用企业凭据登录Azure AD DS托管域。

密码同步的核心概念

在混合身份环境中，密码同步机制需要特别关注以下几个关键点：

1. NTLM和Kerberos哈希：这两种是Windows域环境中传统的认证协议所需的凭据哈希格式
2. 同步范围：默认情况下，Azure AD Connect不会同步这些传统哈希到云端
3. 安全考量：同步这些哈希不会降低安全性，因为Azure AD仍会使用现代认证协议

准备工作

在开始配置前，请确保已完成以下步骤：

1. 已在Azure AD中启用Domain Services功能
2. 已部署Azure AD Connect进行目录同步
3. 拥有适当的Azure AD管理员权限

详细配置步骤

第一步：更新Azure AD Connect

必须使用最新版本的Azure AD Connect工具，旧版本或DirSync工具不支持此功能。

1. 下载最新版本：当前推荐版本为1.1.189.0（2016年6月3日发布）
2. 安装或升级：
   • 如果是新部署，直接在已加入域的计算机上安装
   • 如果是升级，建议先备份当前配置

重要提示：必须使用域已加入的计算机进行安装，以确保正确的权限和网络访问。

第二步：执行强制完全密码同步

使用以下PowerShell脚本强制同步所有密码哈希，包括NTLM和Kerberos认证所需的凭据：

$adConnector = "<AD连接器名称，注意大小写敏感>"  
$azureadConnector = "<Azure AD连接器名称，注意大小写敏感>"  
Import-Module adsync  
$c = Get-ADSyncConnector -Name $adConnector  
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1  
$c.GlobalParameters.Remove($p.Name)  
$c.GlobalParameters.Add($p)  
$c = Add-ADSyncConnector -Connector $c  
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false   
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true

脚本说明

1. 首先指定AD连接器和Azure AD连接器的名称（大小写敏感）
2. 导入ADSync模块
3. 获取AD连接器配置
4. 创建强制完全密码同步参数
5. 更新连接器配置
6. 重新启用密码同步功能以确保更改生效

同步完成后的注意事项

1. 同步时间：根据目录大小（用户、组数量等），同步可能需要较长时间
2. 验证方法：用户可以在同步完成后尝试使用域凭据登录Azure AD DS托管域
3. 故障排查：如果遇到问题，检查Azure AD Connect同步状态和事件日志

最佳实践建议

1. 定期更新：保持Azure AD Connect为最新版本
2. 监控同步：设置同步过程监控和警报
3. 测试验证：在关键业务使用前，先使用测试账户验证功能
4. 文档记录：记录同步配置和变更历史

常见问题解答

Q：同步这些哈希会降低安全性吗？ A：不会，Azure AD仍主要使用现代认证协议，这些哈希仅用于与传统系统兼容。

Q：为什么必须使用最新版Azure AD Connect？ A：早期版本不支持传统凭据哈希同步功能，且可能包含已知问题。

Q：同步后用户需要重置密码吗？ A：不需要，现有密码将保持有效。

通过以上步骤，您的同步租户环境将能够正确地将所有必要的凭据哈希同步到Azure AD，从而确保用户能够无缝使用其企业凭据访问Azure AD Domain Services托管域中的资源。