Essentials Provisioning

Für kleine Firmen bietet Microsoft die Windows "Essentials" Server an. Das sind eigentlich Windows Server mit entsprechenden Assistenten zur Installation und Verwaltung. Der normale "Small Office Admin" wird also nicht zwingend mit allen Tools konfrontiert, die in einer Enterprise-Umgebung erforderlich sind. Genau dieses Dashboard kann auch die Office 365 Objekte mit verwalten.

Diese Funktion habe ich weder bei einem Windows 2019 Essentials Server noch Windows 2022 Essentials Server gefunden und auch bei den regulären Standard/Datacenter-Editionen gibt es die Rolle nicht mehr. Ich nehme an, dass Sie mittlerweile obsolet ist uns sie die regulären Werkzeuge wie AzureADConnect oder AzureAD Cloud Sync nutzen müssen.

Essentials Server in Kürze

Die Windows 2012R2 Essentials Server sind etwas günstiger als ein Standard Server aber sind z.B. auf 25 Benutzer, 2 CPUs und 64GB Hauptspeicher beschränkt. Zudem wird nur der Server lizenziert, d.h. es gibt keine CALs. Dafür gibt es aber auch kein Hyper-V, kein Server Core, eine Beschränkung auf einen DFS-Stamm und auch der IAS-Server ist beschränkt (Radius, z.B. für VPN Einwahl oder 802.1x). All diese Beschränkungen sind aber in der Regel kein Problem für eine kleine Firma. Etwas keiner ist nur noch der Windows 2012R2 Foundation Server, der mit einem CPU-Sockel und 32GB Ram auskommen muss und maximal 15 Benutzer unterstützt. Beide können nicht zugleich noch als Hyper-V-Host arbeiten. Der Essentials Server darf aber virtuell betrieben werden, was für den Foundation Server nicht gilt. Wer also vieleicht einen Server mit mehreren VM betreiben will, kann den Essentials Server virtuell auf einem Hyper-V-Server oder VMWare betreiben.

Wer die Lizenzkosten durchrechnet, könnte aber auch mit einem Windows Standard Server beginnen. Auch hier kann die "Windows Server Essentials Experience" nachinstalliert werden.

Dann haben Sie auch auf einen normalen Server die Funktionen des Essentials Servers 

Essentials Dashboard zur einheitlichen Verwaltung

Der große Vorteil ist das Dashboard, welches die Verwaltung des Servers und der Clients stark vereinfacht, indem es die häufigen Aufgaben einer Administration an einer Stelle zusammenfasst. Und genau dieses Dashboard kann auch mit Office 365 umgehen. Nach einer einmaligen Einrichtung können Sie weiterhin im lokalen Dashboard ihre Benutzer verwalten. Im Hintergrund verwaltet der Server aber auch die Identitäten direkt in Office 365.

Das ist aber kein DirSync im klassischen Sinne. Sie benötigen also keinen weiteren Server für den Betrieb von ADSync. Das Dashboard verwaltet die Benutzer direkt in der Cloud zu dem Zeitpunkt, zudem Sie als Administrator auch die Änderungen über das Dashboard vornehmen. Es versteht sich von selbst, dass Sie zu der Zeit dann natürlich auch Zugriff auf Office 365 brauchen und Änderungen an den Benutzern und Gruppen nur noch über das Dashboard machen. Direkte Massenänderungen per LDAP, ADSIEDIT, PowerShell o.ä. sind in solchen Umgebungen aber sowieso nicht angesagt.

Achtung: Diese Funktion ist nur mit genau einem Domaincontroler möglich. Wenn Sie ihre Essentials-Umgebung später um einen weiteren DC erweitern, müssen Sie die Office 365 Anbindung auf ADSync umstellen.

Sie sollten dann aber auch keine Benutzer mehr in Office 365 verwalten, wenn Sie diese auch lokal im Dashboard ändern können. Wenn Sie in Office 365 z.B. einen Benutzer zuerst anlegen, dann müssen Sie auf dem lokalen Server den Benutzer "passend" anlegen, damit er auch wieder "matched" und zusammengeführt wird

Aber natürlich gibt es in Office 365 selbst natürlich viel mehr Einstellmöglichkeiten, als eine lokal installierte Software analog umsetzen kann. Dazu sind die Erweiterungen und Änderungen in der Cloud viel häufiger als Updates für lokale Server. Es wird also dennoch immer Situationen geben, in denen Sie zusätzlich in Office 365 etwas verwalten müssen.

Die Anbindung eines lokalen Active Directory an Office 365 mit dem Essentials Dashboard ist daher nicht direkt mit einem Verzeichnisabgleich zu vergleichen. Für kleine Umgebungen ist aber genau diese Lösung in den meisten Fällen wieder passend, da es doch in weiten Teilen einheitliche Administration erlaubt ohne gesonderte Serverprozesse zu verwenden.

Authentifizierung per Kennworte statt ADFS

Neben der Verwaltung der Identitäten ist die Anmeldung ein zweiter Baustein. Es dürfte sich von selbst verstehen, dass eine so kleine lokale AD-Installation nicht noch einen ADFS-Service, ADFS-Proxy, statische IP-Adressen und Zertifikate bereitstellen wird. Entsprechend ist ADFS hier gar nicht vorgesehen, sondern die Verwaltungskonsole gleicht die Kennworte des lokalen Active Directory mit der Cloud ab.

Achtung: Damit dies sauber funktioniert, stellt der Assistent bei der Einrichtung ihre GPO um, damit Kennworte mindestens 8 Stellen lange und komplex sein müssen. Die lokalen Kennworte müssen mindestens den Office 365 Anforderungen entsprechend.

Wenn Sie dann neue Benutzer anlegen oder deren Kennwort zurück setzen, dann wird im gleichen Schritt auch das Kennwort in der Cloud angepasst. Das funktioniert aber auch, wenn der Anwender das Kennwort auf seinem PC selbst ändert. Auch wenn die Lösung mit Windows Server Essentials keinen kompletten DirSync enthält, so wird bei der Einrichtung eine kleiner Kennwort-Sync-Service installiert, der die Kennworte in Office 365 aktualisiert, wenn ein Anwender sein lokales Kennwort anpasst.

Einrichtung

Auf meinem Windows Server 2012 Essentials (Nicht R2) war in wenigen Minuten abgeschlossen. Auf dem Dashboard starten Sie den Assistenten hier:

Es startet ein eigener Assistent für die Konfiguration ihres Windows Server Essentials für Office 365. Das erste Fenster beschreibt die nächsten Schritte.

Wenn Sie hier auswählen, dass Sie noch kein Office 365 Abonnement haben, dann kommt im nächsten Schritt einfach ein Zusatzfenster mit Links zu Office 365, damit Sie sich einen Tenant anlegen.

Wenn Sie bereits einen Office 365 Tenant haben, dann kommen Sie direkt auf die Eingabemaske für die Zugangsdaten. Hier müssen Sie den Office 365 Global Admin verwenden.

Das nächste Fenster weist dann auf die ggfls. erforderliche Änderung der Kennwortrichtlinie für "sichere Kennworte" hin.

Und dann beginnt das Modul mit der Einrichtung.

Da ich im Hintergrund das Dashboard nicht geschlossen hatte, bekam ich folgende Abschlissmeldung

Konfiguration

Dass die Integration geklappt hat, sehen Sie zum einen direkt im Dashboard. Hier erscheint ein grüner Haken und die Integration eines lokalen Exchange Servers ist nicht mehr möglich. Ich denke aber, dass die wenigsten Firmen in einer Umgebung mit Essentials Server einen kostenpflichtigen Exchange Server beigestellt haben-

In der oberen Leiste taucht nun auch "Office 365" auf:

Die größere Veränderung ist bei der Verwaltung der Benutzer zu sehen. Hier gibt es eine ganze Menge neuer Einträge zu Office 365

Windows Server Essentials merkt sich zu jedem Benutzer das "passende" Gegenkonto in Office 365. nach der Aktivierung findet aber kein "Matching" o.ä. statt. Hier ist einmalig der lokale Administrator gefragt, um die bestehenden Benutzer einem bestehende oder neuen Office 365 Konto zuzuweisen oder alternativ die Office 365 Konten zu importieren, d.h. passende lokale Konten anzulegen. Hier einmal am Beispiel des Users "admin":

Die erfolgreiche Verknüpfung wird entsprechend gemeldet.

Als kleiner Nebeneffekt bekommt der Benutzer das Flag, dass er bei der nächsten Anmeldung sein Kennwort ändern muss. Dies ist erforderlich, damit der Kennwort-Service dieses so erhält, um damit das Kennwort in der Cloud neu zu setzen. Erst dann haben beide Konten das "gleiche Kennwort".

Wichtiger Tipp:
Lassen Sie bitte immer einen globalen Admin in der Cloud "unsynchronisiert", damit sie immer einen unabhängigen Zugang in die Cloud selbst haben.

Wenn es in der Cloud allerdings noch keine Benutzer gibt, dann können Sie diese mit Hilfe des Dashboards anlegen lassen.

Interessant ist hier aber nun, dass ich anscheinend nur Benutzer anlegen kann, wenn ich auch eine Office 365 Lizenz dafür habe. Genau genommen wäre dies für das Anlegen eines Benutzers in der Cloud noch gar nicht erforderlich. Allein die Identität kostet in Office 365 nichts. Erst wenn Dienste in der Cloud genutzt werden, ist eine Lizenz erforderlich. Allerdings ist diese Einschränkung wohl im Sinner einer Vereinfachung durchaus akzeptabel. Wenn Sie aber eine Lizenz noch "frei" haben, dann können Sie dem Benutzer die entsprechende Lizenz zuweisen.

Auf den Eigenschaften des Kontos gibt es auch eine Office 365 Karteikarte

Hier können Sie sogar die Mailadressen pflegen. Anders als beim DirSync werden die Adressen aber nicht lokal als "ProxyAddresses" hinterlegt sondern direkt in der Cloud verwaltet. Der Tenant ist ja grade nicht für "DirSync" aktiviert und die Konten in der Cloud haben auch weite den Status "In der Cloud".

 

Im Portal ist gut zu sehen, dass weder ADSync noch ADFS eingerichtet wurden und der Benutzer "Admin" weiterhin den Status" In Cloud" hat.

Helfer im Hintergrund

Mit der Integration in Office 365 wurden zwei Dienste installiert. O365ProviderSvc und PwdSyncProviderSvc, die für die Kopplung an die Cloud relevant sind.

Beide Dienste melden auch ihre Aktivitäten im Anwendungs-Eventlog, wobei hier aber bislang nicht allzu viel zu sehen ist:

Interessanter sind bei der Fehlersuche die Protokolldateien, die sich im Verzeichnist "C:\ProgramData\Microsoft\Windows Server\Logs" befinden.

  • SharedServiceHost-O365ProviderServiceConfig.txt
    Hier hinterlässt der O365ProviderSvc-Service seine Diagnoseinformationen
  • SharedServiceHost-PasswordSyncProviderServiceConfig.txt
    Informationen zum Kennwortabgleich

Allerdings finden sich auch hier keine "Laufzeitinformationen". Ich hätte mir schon gewünscht, dass z.B. der "PwdSyncProviderSvc" im Eventlog einen Eintrag anlegt, wenn er ein Kennwort in die Cloud übertragen hat.

Zwischenstand

Die Integration von Windows Server Essentials in Office 365 erscheint mir für die Zielgruppe passend. Sicher ist es für einen Admin auch nicht zu viel verlangt, die wenigen Benutzer einfach in beiden Welten zu pflegen. Und sicher wird ein Administrator hier doch das ein oder andere Mal per Browser direkt in der Cloud arbeiten. Aber allein die Funktion des "Kennwortabgleichs" für kleine Umgebungen ganz ohne ADSync/AADConnect sind schon sehr hilfreich.

Bislang konnte ich noch nicht ermitteln, wie der "Link" zu Office 365 hergestellt wird. Es sind HTTPS-Request und ich vermute, dass die Graph-API genutzt wird. Allerdings gibt es in der Cloud kein zusätzliches "Dienstkonto" wie beim ADSync aber trotz Änderung des Kennwortes des Administrators in der Cloud kann Essentials weiter Kennworte abgleichen. Ich vermute, dass hier Tokens oder Zertifikate zum Einsatz kommen.

Weitere Links