Azure AD混合部署，实现在本地AD同步到AAD上面

一、前期准备

1、进入 Azure云 注册一个账号

2、进入 AAD 管理后台

3、创建一个新的租户

（1）打开管理租户

（2）创建

（3）选择类型 

（4）配置目录名 "xielong"

4、切换目录，添加域名

（1）切换目录

 （2）添加自定义域名，这里要做下验证，所以你要有个线上的域名

5、创建一个全局管理员

（1）这里创建一个 tom.ma 用户

（2）授权角色：全局管理员，这里为了后面同步用

（3）成功，这里标识为 "MicrosoftAccount" 的另一个用户是微软自动创建的

6、添加许可证，可以免费试用一个月

（1）点击许可证

 （2）点击试用/购买

 （3）这里我们选择 "企业移动性+安全性 E5" 进行激活

7、登陆本地AD，创建一个UNP，与AAD上面添加的域名一致

二、安装  Azure AD Connect

1、我是安装在本地AD上面的，生产环境建议安装单独安装

Download Microsoft Azure Active Directory Connect from Official Microsoft Download Center

2、安装后打开软件，这里我们选择自定义

3、 登陆方式我们选择密码

4、 配置全局管理员，这里的账号就是上面我们在AAD上面创建的

5、连接本地的AD

6、 验证本地 AD

（1）输入本地AD的账号，这里我专门建一个AD账员，注意这里不能是管理员账号

（2）验证成功

 7、AAD 登陆配置 

8.1、选择同步的OU，这里我们只选SHA这个OU

8.2、选项功能，这里选择密码同步，实现AD的密码与AAD同步

9、一直下一步，直至完成

三、验证同步

1、我们在本地AD上面创建三个用户

2、我们查看AAD，发现已经全部同步过来

3、问题处理：

Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC Error 8453 : Replication access was denied. 

我们拿 lishi@xielong.cn 试着去登陆 office.cn，发现密码不对，这里是因为本地的密码没有同步到 AAD上面，通过本地的 event 日志得出同步的账号没有权限

（1）打开 ADSI Edit

（2）右键属性选项卡，切换到安全，把用于同步的 aad.connect 这个账号加入进来，并勾选全部权限

（3）手动在同步一次，打开同步管理工具，切换到 Connectors

选择增量同步