Azure AD Domain Services 密码同步配置指南：同步租户场景详解

2025-06-24 09:26:48作者：丁柯新Fawn

前言

在现代企业IT架构中，身份认证是基础安全服务的重要组成部分。Azure AD Domain Services（Azure AD DS）作为微软提供的托管域服务，能够帮助企业在云环境中快速部署域控制器功能，而无需自行维护基础设施。本文将重点介绍在同步租户（即使用Azure AD Connect与本地AD同步的租户）场景下，如何正确配置密码同步以确保用户能够使用企业凭据登录Azure AD DS托管域。

密码同步的核心概念

在混合身份环境中，密码同步机制需要特别关注以下几个关键点：

NTLM和Kerberos哈希：这两种是Windows域环境中传统的认证协议所需的凭据哈希格式
同步范围：默认情况下，Azure AD Connect不会同步这些传统哈希到云端
安全考量：同步这些哈希不会降低安全性，因为Azure AD仍会使用现代认证协议

准备工作

在开始配置前，请确保已完成以下步骤：

已在Azure AD中启用Domain Services功能
已部署Azure AD Connect进行目录同步
拥有适当的Azure AD管理员权限

详细配置步骤

第一步：更新Azure AD Connect

必须使用最新版本的Azure AD Connect工具，旧版本或DirSync工具不支持此功能。

下载最新版本：当前推荐版本为1.1.189.0（2016年6月3日发布）
安装或升级：
- 如果是新部署，直接在已加入域的计算机上安装
- 如果是升级，建议先备份当前配置

重要提示：必须使用域已加入的计算机进行安装，以确保正确的权限和网络访问。

第二步：执行强制完全密码同步

使用以下PowerShell脚本强制同步所有密码哈希，包括NTLM和Kerberos认证所需的凭据：

$adConnector = "<AD连接器名称，注意大小写敏感>"  
$azureadConnector = "<Azure AD连接器名称，注意大小写敏感>"  
Import-Module adsync  
$c = Get-ADSyncConnector -Name $adConnector  
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1  
$c.GlobalParameters.Remove($p.Name)  
$c.GlobalParameters.Add($p)  
$c = Add-ADSyncConnector -Connector $c  
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false   
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true