IDFix

IDFix hat nichts mit einem gallischen Hund zu tun, sondern ist ein kleines Validierungsprogramm von Microsoft, um ihre On-Prem Active Directory Umgebung zu überprüfen.

Warum checken?

Sobald eine Firma eine gewisse Größe erreicht hat oder häufiger Änderungen an den Benutzern und Gruppen erfolgen, werden die Objekte in der Cloud über einen Verzeichnisabgleich mit AADConnect synchronisiert. Das Azure-AD aber hat einige Beschränkungen und Anforderungen, die in ihrem lokalen Active Directory erst einmal nicht stören, z.B.

  • UPN-Domain muss eine gültige DNS-Domain sein
    Ansonsten funktioniert z.B. ADFS und die komplette Anmeldung in der Cloud nicht
  • Fehler im MailNickName
  • Ungültige SMTP-Adresse
  • Maximal 200 Proxy Addresses

Auf der Seite Office 365:ADSync Check habe ich schon beschrieben, welche Felder z.B. für den ADSync bestimmte Vorgaben erfüllen müssen. Nicht alles Fälle kann IDFix heute schon erkennen aber die, die Sie damit finden, sollten Sie umgehend korrigieren. Das Ziel dabei ist ja gerade, dass der DirSync keine Fehler beim Abgleich aufzeigt und wenn Dinge vergessen wurden, es wirklich nur wenige Probleme sind.

IDFix herunterladen und installieren

IDFix ist als Download von Microsoft unter der folgenden URL erhältlich

IdFix DirSync Error Remediation Tool
http://www.microsoft.com/en-us/download/details.aspx?id=36832
http://go.microsoft.com/fwlink/?LinkID=286107 

Die ZIP-Datei enthält neben dem EXE-Programm auch ein Word-Dokument, in dem all die Checks beschrieben werden, die IDFix so durchführt. Entpacken Sie einfach die Datei in leeren Ordner und starten Sie die EXE-Datei. Eine weitere Installation ist nicht erforderlich

IDFIx im Einsatz

Das Tool wird auf einem Client in ihrer Domäne aufgerufen, liest ihr AD aus und generiert eine Liste der Objekte, die Sie vor dem DirSync noch fixen sollten. In der Version 1.09 habe ich das erst mal folgenden Disclaimer gesehen

Leider gibt es keine Kommandozeile zu IDFix, um den Check zu automatisieren. 

In diesem Beispiel wurden noch 5 von 848 Objekten als "defekt" gemeldet. Bei allen fünf ist im mailnickname ein aus Sicht von Office 365 ungültiges Zeichen.

Ich habe diese Konten aber nicht gefixt, denn sie werden gar nicht in die Cloud migriert. Bei "echten" Benutzern hingegen sollte man schon vorher prüfen, ob die vorgeschlagene Änderung in der Spalte "Update" korrekt ist und dann die Korrektur anwenden.

ACHTUNG:
Hier ist das Programm gefährlich, da es z.B. Felder wie den MailNickname direkt ändert. Wenn Sie eine Empfängerrichtlinie in der Form %m@domain.tld haben, dann wird Exchange 2007 und höher dies nicht bemerken. Hier gibt es anders als Bei Exchange 2000/2003 keinen RUS mehr. Bei Exchange 2007 und höher erfolgt das Management anders. Siehe E2K7 Empfängermanagement. Sie sollten hinterher auf die Objekte also noch einen Update-Recipient machen oder die Korrekturen über den "üblichen" Weg durchführen.

Das hilft aber nicht gegen allgemeine "Probleme" von Benutzer und Gruppen, die Office 365 und insbesondere den DirSync immer wieder stören. IDFIX wird in der Regel auch einmal gestartet aber das schützt nicht vor Problemen mit danach falsch konfigurierten Benutzern. Diese finden Sie dann aber im Eventlog des DirSync-Servers.

In dem Dialog zu den Einstellungen von IDFix gibt es nicht viel überraschendes. Es nutzt per Default Office 365 Multi Tenant, filtert auf "Person" und "Group", fragt einen GC des lokale Active Directory nutzt nutzt die Credentials des angemeldeten Benutzers.

Die wenigsten Administratoren oder Anwender werden hier etwas ändern müssen außer sie arbeiten als Consultant und unten das Programm auf einem PC, der zwar im LAN aber nicht Mitglied des Forest ist und daher explizite Server und Anmeldedaten erforderlich sind.

Weitere Links