IDFix: проверка on-prem Active Directory перед синхронизацией с Azure AD

Если вы планируете настроить синхронизацию вашей локальной (on-prem) Active Directory в Office 365/Azure Active Directory с помощью Azure AD Connector (AADConnect), то перед его установкой вам нужно проверить атрибуты объектов в вашей локальной ADDS на совместимость с Azure AD.

В Microsoft разработали специальную утилиту Microsoft Office 365 IdFix (Directory Synchronization Error Remediation Tool) для проверки on-premises Active Directory. Утилита IdFix позволяет просканировать вашу ADDS и найти пользователей, контакты или группы, которые не смогут по каким-то причинам синхронизироваться с Azure AD.

IdFix выявляет наиболее частые ошибки в атрибутах объектов Active Directory:

• Недопустимые символы в именах объектов AD (в том числе начальные и конечные пробелы);
• Дубликаты;
• Недопустимые SMTP адреса, ошибки в MailNickName;
• Объекты со значениями атрибутов, превышающими лимиты;
• Наличие корректных маршрутизируемых UPN суффиксов (userPrincipalName) .

Утилита IdFix хранится на GitHub ( https://github.com/microsoft/idfix ) и вы можете скачать установочный файл setup.exe с помощью прямой ссылки. IdFix это ClickOnce приложение, поэтому для установки ему понадобится доступ в интернет, иначе появится ошибка:

An error occurred attempting to install IdFix_x000D_Error: An error occurred trying to download 'https://raw.githubusercontent.com/Microsoft/idfix/master/publish/IdFix.application'.

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]_x000D_"DisableCachingOfSSLPages"=dword:00000000

Вы можете установить утилиту IdFix на любом компьютере домена. Запустите утилиту и нажмите кнопку Query.

Утилита IdFix подключится к вашему локальному домену Active Directory и выведет список объектов, которые нужно исправить перед синхронизацией в Azure.

В нашем примере IdFix нашла несколько некорректных объектов в AD с ошибками трех типов:

1. Пустой атрибут displayName у одного аккаунта ( displayName = Blank );
2. Одинаковые значения атрибута mail у нескольких пользователей ( mail= Duplicate );
3. Немаршрутизируемый userPrincipalName (из домена .loc) у трех пользователей ( userPrincipalName= TopLevelDomain ).

Также возможны следующие ошибки:

• Character – некорректные символы в атрибуте;
• Format – некорректный формат значений атрибутов (например, SMTP адреса в неверном формате);
• Length – превышена длина атрибута.

Если вы планируете синхронизировать найденных пользователей в Azure AD, нужно исправить эти ошибки. В поле Action вы можете выбрать действие, которое вы хотите выполнить с найденными атрибутами объектов AD (Edit, Remove, Complete). Если вы выбрали Edit, можно указать новое значение атрибута в поле Update.

Чтобы применить изменения, нажмите кнопку Accept -> Apply. Изменения применятся только к записям, для которых заданы значения в поле Action.

Если вы планируете синхронизировать в Azure только часть вашего каталога Active Directory, вы можете с помощью Settings указать критерии выборки объектов AD для анализа (с помощью LDAP фильтра). С помощью Search Base можно указать OU для анализа.

Утилита IDFix позволяет найти и исправить большое количество проблем, которые могут препятствовать синхронизации пользователей, контактов и групп из on-premises Active Directory в Azure Ad (Microsoft 365). Обязательно проверяйте свою наземную Active Directory перед настройкой синхронизации через Azure AD Connect.