Synchronisation AD vers AD

Synchronisation d'Active Directory à Active Directory

Il existe quelques options différentes lors de la synchronisation des mots de passe d'un Active Directory à un autre.

Fournisseur de synchronisation Active Directory: c'est le fournisseur préféré à utiliser lors de la synchronisation des mots de passe d'un Active Directory à un autre. Il peut être utilisé si les AD ont une relation de confiance configurée et que l'authentification Kerberos est configurée et fonctionne.
Fournisseur de synchronisation Windows LDAP: pour les Active Directory qui n'ont pas de relation de confiance, ou lorsque Kerberos n'est pas configuré et ne fonctionne pas correctement. Ce fournisseur utilise l'authentification de base.
Fournisseur de synchronisation Kerberos: bien que ce fournisseur puisse être utilisé pour les AD avec une relation de confiance configurée et que l'authentification Kerberos fonctionne, il est recommandé d'utiliser le fournisseur de synchronisation Active Directory.
Fournisseur de synchronisation LDAP: ce fournisseur est pour les serveurs LDAP génériques, avec plus d'options de configuration. Pour synchroniser le mot de passe entre deux systèmes Active Directory, il est recommandé d'utiliser le fournisseur de synchronisation Active Directory ou le fournisseur de synchronisation Windows LDAP.

Vous pouvez trouver toutes les conditions préalables et les paramètres pour les différents fournisseurs de synchronisation sur la page de configuration du fournisseur de synchronisation.

Tests

Activer LDAP sur SSL avec un certificat auto-signé

Pour permettre au client de test de communiquer avec les services de domaine Active Directory distants via ce fournisseur, en utilisant une connexion LDAP sécurisée, nous pouvons utiliser un certificat auto-signé.

Connectez-vous au DC distant

Ouvrez PowerShell en mode administrateur et exécutez le code suivant:

Remarque

Remplacez le DnsName par le nom FQDN de votre serveur

$name = "remote.domain"
$cert = New-SelfSignedCertificate
  -DnsName $name
  -CertStoreLocation Cert:\LocalMachine\My

$path = "HKLM:\Software\Microsoft\Cryptography\Services\NTDS\SystemCertificates\My\Certificates"
if(!(Test-Path $path)) {
  New-Item -Force $path
}

Copy-Item
  -Path "HKLM:\Software\Microsoft\SystemCertificates\My\Certificates\$($cert.Thumbprint)"
  -Destination $path

Le certificat créé sera immédiatement utilisé par les AD DS. Il n'est pas nécessaire de redémarrer la machine.

Tester la connexion LDAP

Pour tester les connexions LDAP, utilisez un outil comme LDP. Assurez-vous qu'une communication sécurisée est établie et que les comptes sont accessibles.

Démarrez LDP
Cliquez sur Démarrer
Cliquez sur Exécuter, puis tapez ldp et cliquez sur OK. Vous devriez voir un message en haut indiquant: "Connexion établie à xxx.xxx.xxx".

Client de test SPS

Vous pouvez trouver le client de test dans le répertoire d'installation de l'outil d'administration SPS, c'est-à-dire C:\Program Files\Specopssoft\Specops Password Sync\Admin Tools\PasswordSync.ProviderTestApp.exe

Sélectionnez Active Directory Ldap dans la liste des fournisseurs de synchronisation
Configurez le fournisseur de synchronisation