ADSync, DirSync, FIM, MIM - Ihre Wahl

Office 365 nicht nur einen "DirSync-Server" kostenfrei mit, sondern stellt einen Administrator vor die Wahl, welche Software er lokal installiert um regelmäßig Änderungen im Active Directory zu erkennen und in die Office 365 Cloud zu übertragen. Wer mag kann sogar mit der Funktion Password Sync die Anmeldedaten übertragen. Wer sogar das "Windows Azure Active Directory nutzt, kann dort die primäre Anmeldung nutzen und mit dem enthaltenen Verzeichnisabgleich (AAD) die Kennworte zurück in die On-Premises-Welt replizieren.

Zuerst muss man nämlich das "passende Tool" einsetzen. Microsoft offerierte bis zu vier verschiedene Produkte, von denen aber nur zwei heute relevant sind

Aus meiner Sicht ist AADConnect das Werkzeug der Wahl. Selbst wenn Sie FIM/MIM einsetzen, würde ich immer AADConnect für die Office 365 Anbindung verwenden. Sie profitieren schneller von aktuellen Versionen und sind viel näher am Standard.

Die beiden folgenden Produkte sollten nicht mehr eingesetzt werden:

  • Azure Active Directory Synchronization Tool (DirSync)
    https://msdn.microsoft.com/en-us/library/azure/dn790211.aspx
    Dieses Tool wird (Stand Apr 2015) immer noch im Office 365 Portal dem Administrator zum Download angeboten und gleich einen Forest mit Office 365 ab.
    Es ist aber mittlerweile abgekündigt und durch AADConnect mit ADSync ersetzt
  • Microsoft Directory Synchronization Tool 9.1
    http://www.microsoft.com/en-us/download/details.aspx?id=22042
    Dieses schon 2009 veröffentlichte Tool ist nicht für Office 365 einsetzbar, sondern war eine "kleine Version" für die Microsoft Hosting Angebote "Forefront Online Security für Exchange (FOSE)" und "Exchange Hosted Archive (EHA) services"

In der Vergangenheit habe ich fast immer nur den "DirSync" eingesetzt, der im unterbau ein kleiner FIM2010 war. Mittlerweile muss man aber schon genau bewerten, ob ADSync nicht die bessere Option ist. Sie sich sicher zukunftssicherer und auf Dauer wird Microsoft nicht drei Produkte unterstützen, zumal eine vierte Option (AAD Connect) schon in den Startlöchern steht. Eigentlich warte ich nur noch darauf, dass Microsoft diese Funktion in die Cloud umzieht und On-Prem vielleicht nur noch ein WebService übrig bleibt.

Anhand der Vergleichstabelle (Stand April 2015) gibt es nur eine einzige Funktion die DirSync gegenüber ADSync kann (Writeback of devices), was ich bislang aber noch nicht gebraucht habe. ADSync hingegen hat einige Features, die mittlere und größere Firmen vielleicht brauchen.

  • Mehrere Forests in der Quelle
    Mit einer ADSync-Installation können mehrere Forests in der Quelle in den gleichen Tenant als Ziel übertragen werden. Die Installation von zwei AADFsync Systemen zu Replizierung je eines Quellforests in den gleichen Ziel-Tenant ist aber nicht erlaubt !
  • Kennworte zurückschreiben
    Auch mit DirSync konnten schon Kennwort aus On-Premises in die Cloud übertragen werden. Wenn Sie aber Azure AD Premium haben und die Benutzer in der Cloud ihr Kennwort pflegen können, dann brauchen Sie ADSync, um diese Änderungen auch On-Prem umzusetzen.
  • Weniger Attribute (MiniSync)
    DirSync hat per Default eine ganze Menge an Attributen aus der Quelle in das Ziel übertragen. Man konnte zwar filtern, aber das war schon mühselig. ADSync erlaubt die Auswahl von "Cloud-Applikation", um die erforderlichen Attribute auszuwählen. Wer also kein Exchange Hybrid nutzt, kann damit einige Attribute ausschließen.
  • Erweiterte Funktionen für den Abgleich von Attributen
    ADSync erlaubt Veränderungen , die mit DirSync zwar möglich aber wohl nicht supported waren.

Letztlich dürfte DirSync irgendwann durch ADSync ersetzt werden.

Neue Installationen würde ich mit ADSync starten, wenn es keine Hinderungsgründe gibt. Bestehende Installationen müssen aber nicht übereilt nun von DirSync auf ADSync umgestellt werden.

Gerade am Anfang war es aber gar nicht so verkehrt, nicht zu den ersten Anwendern zu gehören. Es gab durchaus einige unschöne Effekte:

Weitere Links