IDFix: проверка on-prem Active Directory перед синхронизацией с Azure AD

Если вы планируете настроить синхронизацию вашей локальной (on-prem) Active Directory в Office 365/Azure Active Directory с помощью Azure AD Connector (AADConnect), то перед его установкой вам нужно проверить атрибуты объектов в вашей локальной ADDS на совместимость с Azure AD.

В Microsoft разработали специальную утилиту Microsoft Office 365 IdFix (Directory Synchronization Error Remediation Tool) для проверки on-premises Active Directory. Утилита IdFix позволяет просканировать вашу ADDS и найти пользователей, контакты или группы, которые не смогут по каким-то причинам синхронизироваться с Azure AD.

IdFix выявляет наиболее частые ошибки в атрибутах объектов Active Directory:

  • Недопустимые символы в именах объектов AD (в том числе начальные и конечные пробелы);
  • Дубликаты;
  • Недопустимые SMTP адреса, ошибки в MailNickName;
  • Объекты со значениями атрибутов, превышающими лимиты;
  • Наличие корректных маршрутизируемых UPN суффиксов (userPrincipalName).
Как отмечает Microsoft, больше половины проблем, с которыми обращаются заказчики при обработке ошибок синхронизации с AAD связаны с неправильно заполненными атрибутами proxyAddresses и userPrincipalName, и дубликатами.

Утилита IdFix хранится на GitHub (https://github.com/microsoft/idfix) и вы можете скачать установочный файл setup.exe с помощью прямой ссылки. IdFix это ClickOnce приложение, поэтому для установки ему понадобится доступ в интернет, иначе появится ошибка:

An error occurred attempting to install IdFix
Error: An error occurred trying to download 'https://raw.githubusercontent.com/Microsoft/idfix/master/publish/IdFix.application'.

An error occurred attempting to install IdFix Error: An error occurred trying to download

Кроме, того эта же ошибка появляется при попытке установить IdFix в Windows Server 2016/2019. Чтобы исправить ошибку, нужно временно включить SSL кэширование в реестре:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"DisableCachingOfSSLPages"=dword:00000000

Воспользуйтесь командой:
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v DisableCachingOfSSLPages /t reg_dword /d 00000000 /f
После этого установка IDFix запустится нормально.

установка idfix в windows server 2019

После окончания работы с IdFix установите значение DisableCachingOfSSLPages равное 1.

Вы можете установить утилиту IdFix на любом компьютере домена. Запустите утилиту и нажмите кнопку Query.

Для запуска IdFix потребуется версия Microsoft .NET Framework 4.5.2 или выше

Утилита IdFix подключится к вашему локальному домену Active Directory и выведет список объектов, которые нужно исправить перед синхронизацией в Azure.

В нашем примере IdFix нашла несколько некорректных объектов в AD с ошибками трех типов:

  1. Пустой атрибут displayName у одного аккаунта ( displayName = Blank );
  2. Одинаковые значения атрибута mail у нескольких пользователей ( mail=Duplicate );
  3. Немаршрутизируемый userPrincipalName (из домена .loc) у трех пользователей ( userPrincipalName=TopLevelDomain ).

IdFix нашла некорректные атрибуты у некоторых объектов AD

Также возможны следующие ошибки:

  • Character – некорректные символы в атрибуте;
  • Format – некорректный формат значений атрибутов (например, SMTP адреса в неверном формате);
  • Length – превышена длина атрибута.

Если вы планируете синхронизировать найденных пользователей в Azure AD, нужно исправить эти ошибки. В поле Action вы можете выбрать действие, которое вы хотите выполнить с найденными атрибутами объектов AD (Edit, Remove, Complete). Если вы выбрали Edit, можно указать новое значение атрибута в поле Update.

Чтобы применить изменения, нажмите кнопку Accept -> Apply. Изменения применятся только к записям, для которых заданы значения в поле Action.

Также вы можете выгрузить найденный список объектов и ошибок в CSV файл. Можете проанализировать найденные проблемы в Excel, а затем внести изменения в AD с помощью стандартных командлетов PowerShell для работы с объектами Active Directory: Set-ADUser, Set-ADGroup, Set-ADComputer и т.д.

Если вы планируете синхронизировать в Azure только часть вашего каталога Active Directory, вы можете с помощью Settings указать критерии выборки объектов AD для анализа (с помощью LDAP фильтра). С помощью Search Base можно указать OU для анализа.

выбор active directory OU для анализа перед синхрнизацией в облако azure ad

Утилита IDFix позволяет найти и исправить большое количество проблем, которые могут препятствовать синхронизации пользователей, контактов и групп из on-premises Active Directory в Azure Ad (Microsoft 365). Обязательно проверяйте свою наземную Active Directory перед настройкой синхронизации через Azure AD Connect.


Предыдущая статья Следующая статья


Комментариев: 0 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)