Préparer l’environnement Active Directory local pour la synchronisation d’annuaires

  • 5 minutes

Avant que le service informatique de Contoso ne déploie Microsoft Entra Connect, il doit détecter et corriger tous les problèmes éventuels qui peuvent affecter le service d’annuaire AD DS local et les technologies connexes. Cela est particulièrement important s’il implémente la synchronisation d’annuaires en tant que service d’identité pour Microsoft 365.

Vérifications de prédéploiement

Les vérifications de prédéploiement doivent inclure les tâches suivantes :

  • Analyse de l’environnement local à la recherche de caractères non valides dans les attributs d’objet AD DS et de noms d’utilisateurs principaux (UPN) incorrects.
  • Découverte des e-mails de domaine et décompte du nombre d’utilisateurs.
  • Identification des niveaux fonctionnels du domaine et des extensions de schéma ainsi que des attributs personnalisés utilisés.
  • Identification des serveurs proxy utilisés pour Microsoft Exchange ou Skype Entreprise, si vous déployez Microsoft Entra Connect dans le cadre d’un déploiement de Microsoft 365.
  • Identification des domaines Microsoft SharePoint, si vous déployez Microsoft Entra Connect dans le cadre d’un déploiement de Microsoft 365.
  • Évaluation du client pour vérifier la disponibilité de l’authentification SSO.
  • Enregistrement de l’utilisation du port réseau et des enregistrements DNS liés à Office 365 (si vous déployez Microsoft Entra Connect dans le cadre d’un déploiement Office 365).

Une fois ces vérifications effectuées, les principales tâches de correction sont les suivantes :

  • Suppression des attributs dupliqués de proxyAddress et userPrincipalName.
  • Mise à jour des attributs vides et non valides de userPrincipalName, et remplacement par des attributs valides de userPrincipalName.
  • Suppression des caractères non valides dans les attributs suivants : givenName, surname (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNickname et userPrincipalName.

Les noms UPN utilisés pour l’authentification SSO peuvent contenir des lettres, des chiffres, des points, des tirets et des traits de soulignement. Aucun autre type de caractère n’est autorisé.

Si vous déployez Microsoft 365 et si votre déploiement inclut l’authentification SSO, vous devez vérifier que les noms UPN répondent à cet impératif avant de déployer l’authentification SSO. Les domaines utilisés pour l’authentification SSO et la synchronisation d’annuaires doivent être routables, ce qui signifie que vous ne pouvez pas utiliser de noms de domaine locaux, par exemple Contoso.local.

Outils de vérification de l’intégrité d’Active Directory

Pour que la synchronisation d’annuaires fonctionne correctement, vous devez vérifier que l’annuaire Active Directory local est bien préparé et sans erreur. Vous pouvez utiliser les outils suivants de vérification d’intégrité d’AD DS pour identifier et corriger les problèmes.

Outil IdFix

L’outil Microsoft 365 IdFix vous permet d’identifier et de corriger la majorité des erreurs de synchronisation d’objets dans Active Directory, notamment les problèmes courants tels que les proxyAddresses et userPrincipalName dupliqués ou malformés.

Vous pouvez sélectionner les UO (unités d’organisation) que l’outil IdFix doit vérifier, puis corriger les erreurs courantes dans l’outil lui-même. Parmi les erreurs courantes, vous pouvez trouver des caractères non valides dans les attributs tels que proxyAddresses et mailNickname. Ce genre d’erreur peut être introduit durant l’importation d’utilisateurs à l’aide de scripts.

Pour les noms uniques qui contiennent des erreurs de format et des doublons, IdFix ne parvient pas toujours à suggérer une correction automatique. Vous pouvez corriger ce type d’erreur en dehors d’IdFix ou manuellement dans IdFix.

Outil ADModify.NET

Pour les erreurs telles que les problèmes de format, vous pouvez changer des attributs spécifiques objet par objet en utilisant ADSIEdit ou le mode avancé de l’outil Utilisateurs et ordinateurs Active Directory. Toutefois, pour changer les attributs de plusieurs objets, ADModify.NET est un meilleur outil. En effet, l’opération en mode de traitement par lot fournie par ADModify.NET est particulièrement utile pour apporter des changements aux attributs, par exemple les noms UPN dans les UO (unités d’organisation) ou les domaines.

Documentation supplémentaire

Pour en savoir plus, consultez le document suivant.