ADSync Deinstallation

Zu den Veränderungen einer Firma gehört auch einmal der Rückbau eines Tenant oder die Migration in einen anderen Tenant. Auf der Seite ADSync Multi Forest habe ich beschrieben, wie ich eine Verbindung von ADSync zu einem Forest entfernen und die verbliebenen Objekte und Rechte im Forest entferne. Genaugenommen könnten Sie den ADSync-Server danach einfach abschalten, löschen und im Tenant den DirSync abschalten. Eine saubere Deinstallation erlaubt aber auch den Weiterbetrieb des Servers und prüft noch andere

Ausgangssituation

Viele Jahre habe ich einen "Test-Tenant" immer wieder mit Test-Versionen verlängern können. Aber irgendwann konnte ich keine weiteren Codes von Microsoft mehr einspielen, da man eine Testversion immer nur genau einmal aktivieren kann. Also war es Zeit für einen neuen Tenant. Ich wollte aber die lokale Installation meiner Active Directory Controller samt weiterer Exchange Server, Skype für Business Server etc. nicht wegwerfen. Leider kann ich ADSync offiziell nicht auf einen anderen Tenant umschwenken, sondern es stand ein Rückbau und spätere Neuneinrichtung an. Auf meinem ADSync-Server hat ADSync daher einige Komponenten installiert.

Und das ist noch lange nicht alles, denn das ADSync Setup hat ja auch noch einige SQL-Komponenten mit installiert.

Deinstallation

 Ich habe daher die Deinstallation des "Microsoft Azure AD Connect" gestartet. Der Assistenz zeigt genau an, was nun deinstalliert wird. Sie können aber auch die SQL-Datenbank auf dem Server belassen, wenn Sie z.B. ADSync später noch einmal installieren wollen:

Sie können auch das originale Setup starten. Dann bekomme Sie auch die Option einer Reparaturinstallation

Die Schlussmeldung zeigt, was alles deinstalliert wurde.

Zusätzlich hat das Setup auch den "Managed Service Account" entfernt, mit dem der Dienst selbst gelaufen ist.

Allerdings sind weitere Konten und Reste noch vorhanden

Nacharbeiten auf dem Server

Allerdings wurde nicht alles entfernt. Zumindest auf meinem Server habe ich folgende Komponenten manuell entfernt:

Bereich Beschreibung Erledigt

Microsoft Azure AD Connect Agent Updater

Schon am Datum erkennen Sie, dass diese Komponente schon vor 5 Jahren installiert wurde und wohl noch von ADSync Version 1 übrig geblieben ist.

Dateisystem

Im Programmverzeichnis hat das Setup auch einige Rest übrig gelassen, die ich entfernt habe

Nacharbeiten im lokalen AD

Auch im lokalen Active Directory gibt es noch das ein oder andere Überbleibsel, die wir noch aufräumen sollten:

Bereich Beschreibung Erledigt

Computerkonto AZUREADSSO

Da ich Seamless Single Sign On genutzt habe, gab es auch das Computerkonto. Das wurde nicht entfernt.

Das ist aber schnell mit Active Directory Users and Computers gelöscht

Verbindungskonto

Der Connector hat ein eigenes Dienstkonto verwendet. Diese Konto hat einige Recht auf der Domain, die ich vorher entfernen würde und dann das hoch privilegierte Konto entfernen

Denken Sie auch an die Berechtigungen auf andere OUs für DeviceWriteback, GroupWriteBack und PasswordWriteback

msdsConsistencyGUID

ADSync nutzt zwar die ObjectGUID als ersten SourceAnchor, der in der Cloud als ImmutableID gepflegt wird. Der Wert wird aber auch wieder im lokalen Feld "msdsConsistencyGUID" hinterlegt. Dieser Inhalt kann später eine neue ADSync-Installation in diesem Forest behindern. Wenn Sie den Forest nicht mehr mit dem gleichen Tenant verbinden wollen, sollten Sie das Feld leeren. Das geht per PowerShell:

Get-ADObject `
   -LDAPFilter "(ms-ds-consistencyguid=*)" `
   -Properties "ms-ds-consistencyguid" `
| foreach {
   Set-ADObject `
      -identity $_.distinguishedname `
      -Remove @{"ms-ds-consistencyguid"=($_."ms-ds-consistencyguid")}
}

Damit sind die Objekte "bereinigt" für eine spätere neue Synchronisation in einen anderen Tenant. Solange ADSync natürlich die "ObjectGUID" nutzen, stört das nicht aber wenn Sie den Source Anchor später umstellen sollen, sehen Sie folgendes

Groups Writeback

Wenn Sie ADSync mit der Option Groups Writeback aktiviert haben, dann sollten Sie in der damals angegebenen OU nachschauen, ob sie die Objekte löschen können

Exchange Hybrid

Wenn Sie damals den HCW - Hybrid Configuration Wizard genutzt haben, dann wurden nicht nur die Exchange Empfängerrichtlinien um die Adresse "smtp:@<tenantname>.mail.onmicrosoft.com" erweitert, sondern die Adresse auch bei allen Exchange Empfängern ergänzt. Wenn Sie den Forest mit einem neuen Tenant verbinden wollen, dann sollten Sie die Empfängerrichtlinie und die ProxyAddresses der Empfänger wieder korrigieren.
Ich hoffe, sie haben übrigens vorher den Exchange Hybrid Mode zurückgebaut. Wenn nicht, dann wird es nun höchste Zeit.

Auch diese recht längere Auflistung ist noch nicht komplett.

Nacharbeiten im Tenant

Die Installation von ADSync aktiviert in der Cloud den Verzeichnisabgleich. Die Deinstallation hingegen lässt die DirSync-Option eingeschaltet und auch einige andere Dinge sollten noch korrigiert werden, wenn Sie den Tenant später einmal mit einem anderen lokalen AD-Forest wiederverbinden wollen:

Bereich Beschreibung Erledigt

Dirsync im Tenant

Die Deinstallation von ADSync deaktiviert nicht den Dirsync im Tenant und löscht dort auch nicht das Dienstkonto. Daher suche ich erst die verbliebene Konfiguration, merke die das Konto und deaktiviere ADSync.

PS C:\> Connect-MsolService
PS C:\> Get-MsolCompanyInformation | fl dirsync*


DirSyncApplicationType   : 1651564e-7ce4-4d99-88be-0a65050d8dc3
DirSyncClientMachineName : DC01
DirSyncClientVersion     : 2.1.1.0
DirSyncServiceAccount    : Sync_DC01_1264973573fe@fcarius.onmicrosoft.com

PS C:\> Set-MsolDirSyncEnabled -EnableDirSync $false

# Es kann nun bis zu 72 Stunden dauern, bis die Abschaltung alle Objekte umgestellt hat.

PS C:\> Get-MsolCompanyInformation | fl dirsync*,directory*

DirSyncApplicationType          : 1651564e-7ce4-4d99-88be-0a65050d8dc3
DirSyncClientMachineName        : DC01
DirSyncClientVersion            : 2.1.1.0
DirSyncServiceAccount           : Sync_DC01_1264973573fe@fcarius.onmicrosoft.com
DirectorySynchronizationEnabled : False
DirectorySynchronizationStatus  : PendingDisabled

Erst wenn der "DirectorySynchronizationStatus" auf "Disabed" steht, sind alle AzureAD Objekte komplett vom Status "DirSynced" zu "CloudOnly" gewechselt.

Löschen des Sync_*-Kontos

Das Dienstkonto können Sie einfach im Portal finden und im Browser löschen.

ImmutableID

  • Nachdem der DirSync deaktiviert wurde, sollten alle "DirSync"-Objekte nach einiger zu "CloudOnly"-Objekten konvertiert worden sein. Sie haben aber immer noch eine ImmutableID. Wenn Sie nun von einem anderen Forest wieder Benutzer mit ADSync replizieren wollen und auf ein "SoftMatch" hoffen, dann muss die ImmutableID weg. Alternativ können Sie natürlich über einen Hard-Match arbeiten, indem Sie die msdsConsistencyGUID der Benutzer im anderen Forest vorab füllen. Details dazu finden Sie auf SourceAnchor und weiteren Seiten. Die Schritte zum Entfernen stehen auch auf ADSync aus- und wieder einschalten aber ich poste hier auch noch den Code:
# Verbindung herstellen
connect-msolservice

#ImmutableID bei allen Cloud Only Benutzern entfernen
Get-MsolUser -All `
   | ?{$_.immutableid -and -not $_.LastDirSyncTime} `
   | Set-MsolUser -ImmutableId "$null"

Exchange Hybrid

Prüfen zumindest, ob es noch Connectoren zwischen dem Exchange Online Tenant und der lokalen Installation gibt, die sie besser entfernen sollten.

Domains freigeben

Wenn Sie nicht nur den Tenant loswerden wollen, sondern auch die Domains in einem neuen Tenant übertragen müssen, dann sollten Sie entsprechend ihrer Migrationsplanung die Domain entfernen. Damit wird die Domain auch als "Accepted Domain" in Exchange Online entfernt.

 

Weitere Links