AADConnect

Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
http://www.netatwork.de/karriere

Erst war es ein DirSync-Modul, dann nannte Microsoft es ADSync und aktuell heißt das Modul "Azure ADConnect" (AADConnect). Technisch bleibt es aber fast immer das gleiche: Ein FIM/MIIS/ILM Unterbau, der auf einem OnPremise-Server die lokalen Active Directory Daten ausliest und mit dem Tenant in Office 365 bzw. dem AureAD abgleicht. Aber allein der neue Name ändert nicht so viel, wenn Azure AD Connect ist nur eine neue Verpackung: Die folgenden Seiten sind also weiterhin gültig, wenn gleich die Bildschirmfotos nicht zur aktuellen Version passen:

Vorarbeiten

Ehe Sie DirSync, ADSync, AADConnect installieren und aktivieren, sollten Sie ihr lokales Active Directory "aufräumen", damit sie nicht vor vielen kleinen Fehlern die richtigen Probleme übersehen. Auch hier hilft ihnen Office 365, indem es beim Aktivieren des Verzeichnisabgleich im Portal einen Assistenten durchläuft, den ich hier nun nicht mit vielen Bildern wiedergeben werde. Zum einen dürfte Microsoft das Aussehen immer wieder den Anforderungen anpassen und zum anderen sind die Beschreibungen sehr verständlich gehalten. Allerdings ist es nicht immer einfach den Einstieg zu finden. Bei der alten Office 365 Admin Oberfläche war der Verzeichnisdienst noch prominent bei den Benutzern zu finden. Seit 2016 muss man ein Menü mehr aufklappen:

Aber dann startet auch schon gleich der Assistent, der im Wesentlichen folgende Dinge abklärt:

  • Die richtige Größe ?
    Der Assistent empfiehlt die Einrichtung des DirSync erst ab 51 Benutzern und rät kleineren Firmen die Benutzer direkt in der Cloud zu verwalten. Es gibt sicher eine Untergrenze aber selbst als Net at Work noch unter 50 Mitarbeiter hatte, wollte ich auf den DirSync sicher nicht verzichten, insbesondere in Verbindung mit dem Kennwort-Sync.
  • Domain Check
    Dann wird geprüft, ob Sie für alle eingetragenen Domänen auch die entsprechenden DNS-Einträge als "Ownership-Nachweis" gesetzt haben.
  • AD-Check
    Über eine Aplikation, die Sie direkt starten können, liest Office 365 ihr lokales Active Directory aus und prüft.
  • IDFix
    Zudem erhalten Sie den Link, um IDFIX herunter zu laden, womit sie weitere Tests gegen das lokale AD durchführen können
  • Download-Link
    Zuletzt wird ihnen dann ein Download-Link zur aktuellen ADConnect-Quelle angeboten

Der Assistent beendet sich dann und zeigt ihnen den DirSync Status in Office 365 an.

  • DirSync Check
    Erst mal prüfen und bereinigen erspart spätere Fehler

Installation

Vor der Installation steht der Download:

Microsoft Azure Active Directory Connect
https://www.microsoft.com/en-us/download/details.aspx?id=47594
http://go.microsoft.com/fwlink/?linkid=615771

Schon das erste Fenster nach dem Start der Installation zeigt, dass der Assistent in Wirklichkeit sie bei der Einrichtung von ADFS oder einer Kennwort-Synchronisation unterstützt und natürlich den eigentlichen Verzeichnisabgleich einrichtet.

Hinweis: Starten Sie das MSI bitte von einer administrativen Konsole. Ein "Doppelklick" im Explorer startet das MSI je nach Konfiguration von UAC nicht unbedingt als Admin.

Nach der Zustimmung zu den Lizenzbedingungen sehen Sie sofort, was der Assistent tut würde, wenn Sie genau einen Forest haben

Wenn Sie hier auf "Customize" drücken, dann können sie folgende abweichende Einstellungen vornehmen:

Ich erspare mir all die "Custom Settings", gehe zurück und starte die Express Installation. In den folgenden Fenstern werde ich gefragt nach:

  • Azure Global Admin Credentials
    Mit diesen Anmeldedaten werden in der Cloud entsprechende Dienstkonten angelegt, die später vom DirSync genutzt werden.
  • Lokaler AD Admin
    Damit das Setup auch im lokalen AD ein Dienstkonto anlegen kann

Nach Eingabe der Daten und einiger Checks kommt die letzte Bestätigung der Eingaben. Hier könnte ich die sofortige Synchronisation nach Ende des Setup aussetzen.

So könnte ich z.B. noch eigene Filter oder Transformationen konfigurieren, wenn ich mehr Einfluss auf den Verzeichnisabgleich haben wollte. Nach einem Druck auf "Install" wird eine SQL Local DB installiert, der Synchronization Service eingerichtet, der lokale Forest konfiguriert (ACLs etc.). Nach wenigen Minuten war selbst in meiner "langsamen Demo-VM" das Setup durch

In der Systemsteuerung befinden sich nun ein paar zusätzliche Programme:

Im lokalen Active Directory befinden sich einige neue Gruppen und das Dienstkonto:

Hinweis: Wenn Sie später ADSync konfigurieren wollen, dann sollten Sie die entsprechenden Benutzer in die entsprechende ADSync-Gruppe addieren. Per Default sind auch die Domänen-Administratoren nicht in diesen Gruppen und sind damit erst einmal nicht zugelassen

Die Fehlermeldung sieht dann wie folgt aus.

Analog gibt es dann in der Cloud nicht nur das passende Dienstkonto. Früher musste man das Konto manuell anlegen und die Rolle "Globaler Administrator" addieren. Das ist nicht mehr so:

Interessant ist, dass auch dieses DirSync-Konto kein "Cloud Konto" ist, sondern durch den DirSync selbst verwaltet wird. Beim ersten Lauf muss hier wohl doch ein anderes Konto temporär genutzt worden sein. Es benötigt aber keine Lizenz.

Status überprüfen

Office 365 erkennt, ob ihr DirSync aktiv ist und wann das letzte Mal ein Update erfolgt ist. Wenn dies zu lange her ist, dann bekommt der Dienst-Administrator sogar eine Mail. Sie können im neuen Admin Portal den Status direkt überprüfen:

Aber auch auf dem lokalen DirSync-Server kann der Status natürlich eingesehen werden. Das kann interaktiv über die Applikation "Synchronisation Services" erfolgen, die sich im Startmenü befindet und direkt die "alte MIIS-Konsole" startet

Hier sollten Sie aber nur "lesen" und analysieren aber bitte nichts ändern. Für Änderungen gibt es weiterhin den "Rules Editor", den ich aber schon auf Office 365:ADSync beschrieben habe.

Im Windows Eventlog sind natürlich auch die Aktivitäten sichtbar. Wobei ich noch keinen "Fehler" hatte. Interessanterweise stehen viele Event im "Application eventlog". In den eigenen "Application and Services Logs" hingegen gibt es zwar vorbereitet eigene Logs, aber zumindest bei mir waren diese noch leer

Azure Active Directory Connect

Bis hierhin könnten Sie behaupten, dass sich diese Seite sehr stark an dem bisherigen Office 365:ADSync orientiert. Das ist auch so, wenn es da nicht noch ein neues Programm im Startmenü gäbe:

Dieser Assistent kann nicht nur die aktuelle Konfiguration anzeigen oder Dinge wieder korrigieren, sondern auch weitere Active Directory Forests mit angepassten Filtern z.B. nach OUs einbinden, das lokale Schema erneut erweitern oder den DirSync "pausieren".

Für viele dürfte aber die Umstellung der Anmeldung z.B. auf ADFS interessant sein:

Natürlich war das die letzten Jahre auch ohne den Assistenten möglich aber Microsoft versucht es eben den Firmen einfacher zu machen, die Einrichtung korrekt durchzuführen.

Weitere Links

Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
http://www.netatwork.de/karriere