最近有一個客戶問到我一個問題:AAD Connect服務器能不能改FQDN
我當時愣了一下問爲什麼要改名字,對方也沒有告知原因。我雖然知道微軟官方文檔描述是不能更改,但是我沒有直接告知客戶,下來我搭了個測試環境進行驗證更改AAD Connect服務器名字。先看下微軟官方是怎麼說的
微軟官方說明鏈接:https://docs.azure.cn/zh-cn/active-directory/hybrid/reference-connect-faq
接下來我將進行人爲重命名服務器
先看下正常情況下服務器的名字叫什麼
同步日誌也是一切正常
然後我們手動將服務器名字進行更換並重啓服務器
重啓後AAD Connect的服務能正常運行
然後手動執行同步命令,現在命令執行成功
同步日誌也是顯示成功的
一切看來都那麼的正常,接下來我們打開AAD Connect工具進行修改設置
在contoso.com根域中新建一個OU並創建一個賬號
然後在AAD Connect中增加同步contoso組織單位
然後開始啓動同步流程
顯示配置成功
通過同步日誌檢測全部同步成功
然後去Office365中檢測是否已經同步了用戶,顯示這個賬號也是同步成功了的
然後再檢查Office365中目錄同步狀態也是一起正常,注意看同步目錄的賬號其實是之前AAD服務器的名稱了。
回頭看微軟官網的描述是“更改服務器名稱將導致同步引擎無法連接到 SQL 數據庫實例,並且服務將無法啓動”這不是打臉麼?檢查日誌發現在AAD Connect服務器上是裝了SQL的。
所以我的理解是:如果單獨爲AAD Connect安裝了一臺後端SQL Server,那麼這時候如果去更改AAD Connect服務器的名字,就會導致AAD Connect服務器無法使用計算機賬號登錄SQL Server,但這時候管理員依然可以用admin賬號登錄到SQL Server中進行添加新的AAD Connect服務器作爲登錄名。從我目前的測試結果來看是可以正常的重命名服務器的,且重命名後1小時沒有任何報錯期間多次進行手動同步。
看來需要跟微軟產品組開個CASE確認下官網的說法是否準確!