IDFix und Co

IDFix hat nichts mit einem gallischen Hund zu tun, sondern ist ein kleines Validierungsprogramm von Microsoft, um ihre OnPremise Active Directory Umgebung zu überprüfen.

Warum checken ?

Sobald eine Firma eine gewisse Größe erreicht hat oder häufiger Änderungen an den Benutzern und Gruppen erfolgen, werden die Objekte in der Cloud über einen Verzeichnisabgleich mit AADConnect synchronisiert. Das Azure-AD aber hat einige Beschränkungen und Anforderungen, die in ihrem lokalen Active Directory erst einmal nicht stören, z.B.

  • UPN-Domain muss eine gültige DNS-Domain sein
    Ansonsten funktioniert z.B. ADFS und die komplette Anmeldung in der Cloud nicht
  • Fehler im MailNickName
  • Ungültige SMTP-Adresse
  • Maximal 200 Proxy Addresses

Auf der Seite Office 365:ADSync Check habe ich schon beschrieben, welche Felder z.B. für den ADSync bestimmte Vorgaben erfüllen müssen. Nicht alles Fälle kann IDFix heute schon erkennen aber die, die Sie damit finden, sollten Sie umgehend korrigieren. Das Ziel dabei ist ja gerade, dass der DirSync keine Fehler beim Abgleich aufzeigt und wenn Dinge vergessen wurden, es wirklich nur wenige Probleme sind.

IDFix herunterladen und installieren

IDFix ist als Download von Microsoft unter der folgenden URL erhältlich

IdFix DirSync Error Remediation Tool
http://www.microsoft.com/en-us/download/details.aspx?id=36832
http://go.microsoft.com/fwlink/?LinkID=286107 

Die ZIP-Datei enthält neben dem EXE-Programm auch ein Word-Dokument, in dem all die Checks beschrieben werden, die IDFix so durchführt. Entpacken Sie einfach die Datei in leeren Ordner und starten Sie die EXE-Datei. Eine weitere Installation ist nicht erforderlich

IDFIx im Einsatz

Das Tool wird auf einem Client in ihrer Domäne aufgerufen, liest ihr AD aus und generiert eine Liste der Objekte, die Sie vor dem DirSync noch fixen sollten. In diesem Beispiel wurden och 5 von 848 Objekten als "defekt" gemeldet. Bei allen fünf ist im mailnickname ein aus Sicht von Office 365 ungültiges Zeichen.

Ich habe diese Konten aber nicht gefixt, denn sie werden gar nicht in die Cloud migriert. Bei "echten" Benutzern hingegen sollte man schon vorher prüfen, ob die vorgeschlagene Änderung in der Spalte "Update" korrekt ist und dann die Korrektur anwenden.

ACHTUNG:
Hier ist das Programm gefährlich, da es z.B. Felder wie den MailNickname direkt ändert. Wenn Sie eine Empfängerrichtlinie in der Form %m@domain.tld haben, dann wird Exchange 2007 und höher dies nicht bemerken. Hier gibt es anders als Bei Exchange 2000/2003 keinen RUS mehr. Bei Exchange 2007 und höher erfolgt das Management anders. Siehe E2K7 Empfängermanagement. Sie sollten hinterher auf die Objekte also noch einen Update-Recipient machen oder die Korrekturen über den "üblichen" Weg durchführen.

Das hilft aber nicht gegen allgemeine "Probleme" von Benutzer und Gruppen, die Office 365 und insbesondere den DirSync immer wieder stören. IDFIX wird in der Regel auch einmal gestartet aber das schützt nicht vor Problemen mit danach falsch konfigurierten Benutzern. Diese finden Sie dann aber im Eventlog des DirSync-Servers.

Andere Tools

IDFix ist leider nicht das einzige Tool. Es hat den Anschein, dass verschiedene Teams das gleiche Ziel auf unterschiedlichen Wegen erreichen. So gibt es "online" noch ein zweites Werkzeug. Es gibt extra ein "OnRamp"-Tool, welches Sie auf ihrem PC per Browser starten und welches dann ihre Umgebung auf die Eignung für Office 365 überprüft.

Der Start erfolgt im Browser:

Danach wird aber ein Programm heruntergeladen, welches lokal ihr AD abfragt.:

Ein voller Test dauert schon einige Minuten und findet sicher das ein oder andere Problem. er geht auch weit über die einfachen IDFix-Checks hinaus und prüft z.B. DNS-Einträge und Netzwerkports

Aber es gibt auch Fehlalarme wie z.B. die Warnung mit mehreren Forests. Die aktuelle Version von ADSync kann sehr wohl auch mehrere Forests bedienen.

Weitere Links