ADSync Deinstallation
Zu den Veränderungen einer Firma gehört auch einmal der Rückbau eines Tenant oder die Migration in einen anderen Tenant. Auf der Seite ADSync Multi Forest habe ich beschrieben, wie ich eine Verbindung von ADSync zu einem Forest entfernen und die verbliebenen Objekte und Rechte im Forest entferne. Genaugenommen könnten Sie den ADSync-Server danach einfach abschalten, löschen und im Tenant den DirSync abschalten. Eine saubere Deinstallation erlaubt aber auch den Weiterbetrieb des Servers und prüft noch andere
Ausgangssituation
Viele Jahre habe ich einen "Test-Tenant" immer wieder mit Test-Versionen verlängern können. Aber irgendwann konnte ich keine weiteren Codes von Microsoft mehr einspielen, da man eine Testversion immer nur genau einmal aktivieren kann. Also war es Zeit für einen neuen Tenant. Ich wollte aber die lokale Installation meiner Active Directory Controller samt weiterer Exchange Server, Skype für Business Server etc. nicht wegwerfen. Leider kann ich ADSync offiziell nicht auf einen anderen Tenant umschwenken, sondern es stand ein Rückbau und spätere Neuneinrichtung an. Auf meinem ADSync-Server hat ADSync daher einige Komponenten installiert.
Und das ist noch lange nicht alles, denn das ADSync Setup hat ja auch noch einige SQL-Komponenten mit installiert.
Deinstallation
Ich habe daher die Deinstallation des "Microsoft Azure AD Connect" gestartet. Der Assistenz zeigt genau an, was nun deinstalliert wird. Sie können aber auch die SQL-Datenbank auf dem Server belassen, wenn Sie z.B. ADSync später noch einmal installieren wollen:
Sie können auch das originale Setup starten. Dann bekomme Sie auch die Option einer Reparaturinstallation
Die Schlussmeldung zeigt, was alles deinstalliert wurde.
Zusätzlich hat das Setup auch den "Managed Service Account" entfernt, mit dem der Dienst selbst gelaufen ist.
Allerdings sind weitere Konten und Reste noch vorhanden
Nacharbeiten auf dem Server
Allerdings wurde nicht alles entfernt. Zumindest auf meinem Server habe ich folgende Komponenten manuell entfernt:
Bereich | Beschreibung | Erledigt |
---|---|---|
Microsoft Azure AD Connect Agent Updater |
Schon am Datum erkennen Sie, dass diese
Komponente schon vor 5 Jahren installiert
wurde und wohl noch von ADSync Version 1
übrig geblieben ist. |
|
Dateisystem |
Im Programmverzeichnis hat das Setup auch
einige Rest übrig gelassen, die ich entfernt
habe |
Nacharbeiten im lokalen AD
Auch im lokalen Active Directory gibt es noch das ein oder andere Überbleibsel, die wir noch aufräumen sollten:
Bereich | Beschreibung | Erledigt |
---|---|---|
Computerkonto AZUREADSSO |
Da ich Seamless Single Sign On genutzt habe, gab es auch das Computerkonto. Das wurde nicht entfernt.
Das ist aber schnell mit Active Directory Users and Computers gelöscht |
|
Verbindungskonto |
Der Connector hat ein eigenes Dienstkonto
verwendet. Diese Konto hat einige Recht auf
der Domain, die ich vorher entfernen würde
und dann das hoch privilegierte Konto
entfernen Denken Sie auch an die Berechtigungen auf andere OUs für DeviceWriteback, GroupWriteBack und PasswordWriteback |
|
msdsConsistencyGUID |
ADSync nutzt zwar die ObjectGUID als ersten SourceAnchor, der in der Cloud als ImmutableID gepflegt wird. Der Wert wird aber auch wieder im lokalen Feld "msdsConsistencyGUID" hinterlegt. Dieser Inhalt kann später eine neue ADSync-Installation in diesem Forest behindern. Wenn Sie den Forest nicht mehr mit dem gleichen Tenant verbinden wollen, sollten Sie das Feld leeren. Das geht per PowerShell: Get-ADObject ` -LDAPFilter "(ms-ds-consistencyguid=*)" ` -Properties "ms-ds-consistencyguid" ` | foreach { Set-ADObject ` -identity $_.distinguishedname ` -Remove @{"ms-ds-consistencyguid"=($_."ms-ds-consistencyguid")} } Damit sind die Objekte "bereinigt" für eine spätere neue Synchronisation in einen anderen Tenant. Solange ADSync natürlich die "ObjectGUID" nutzen, stört das nicht aber wenn Sie den Source Anchor später umstellen sollen, sehen Sie folgendes
|
|
M365Groups Writeback |
Wenn Sie ADSync mit der Option M365Groups Writeback aktiviert haben, dann sollten Sie in der damals angegebenen OU nachschauen, ob sie die Objekte löschen können | |
Exchange Hybrid |
Wenn Sie damals den
HCW - Hybrid Configuration Wizard
genutzt haben, dann wurden nicht nur die
Exchange Empfängerrichtlinien um die Adresse
"smtp:@<tenantname>.mail.onmicrosoft.com"
erweitert, sondern die Adresse auch bei
allen Exchange Empfängern ergänzt. Wenn Sie
den Forest mit einem neuen Tenant verbinden
wollen, dann sollten Sie die
Empfängerrichtlinie und die ProxyAddresses
der Empfänger wieder korrigieren. Ich hoffe, sie haben übrigens vorher den Exchange Hybrid Mode zurückgebaut. Wenn nicht, dann wird es nun höchste Zeit. |
Auch diese recht längere Auflistung ist noch nicht komplett.
Nacharbeiten im Tenant
Die Installation von ADSync aktiviert in der Cloud den Verzeichnisabgleich. Die Deinstallation hingegen lässt die DirSync-Option eingeschaltet und auch einige andere Dinge sollten noch korrigiert werden, wenn Sie den Tenant später einmal mit einem anderen lokalen AD-Forest wiederverbinden wollen:
Bereich | Beschreibung | Erledigt |
---|---|---|
Dirsync im Tenant |
Die Deinstallation von ADSync deaktiviert nicht den Dirsync im Tenant und löscht dort auch nicht das Dienstkonto. Daher suche ich erst die verbliebene Konfiguration, merke die das Konto und deaktiviere ADSync. PS C:\> Connect-MsolService PS C:\> Get-MsolCompanyInformation | fl dirsync* DirSyncApplicationType : 1651564e-7ce4-4d99-88be-0a65050d8dc3 DirSyncClientMachineName : DC01 DirSyncClientVersion : 2.1.1.0 DirSyncServiceAccount : Sync_DC01_1264973573fe@fcarius.onmicrosoft.com PS C:\> Set-MsolDirSyncEnabled -EnableDirSync $false # Es kann nun bis zu 72 Stunden dauern, bis die Abschaltung alle Objekte umgestellt hat. PS C:\> Get-MsolCompanyInformation | fl dirsync*,directory* DirSyncApplicationType : 1651564e-7ce4-4d99-88be-0a65050d8dc3 DirSyncClientMachineName : DC01 DirSyncClientVersion : 2.1.1.0 DirSyncServiceAccount : Sync_DC01_1264973573fe@fcarius.onmicrosoft.com DirectorySynchronizationEnabled : False DirectorySynchronizationStatus : PendingDisabled Erst wenn der "DirectorySynchronizationStatus" auf "Disabed" steht, sind alle AzureAD Objekte komplett vom Status "DirSynced" zu "CloudOnly" gewechselt. |
|
Löschen des Sync_*-Kontos |
Das Dienstkonto können Sie einfach im
Portal finden und im Browser löschen. |
|
ImmutableID |
# Verbindung herstellen connect-msolservice #ImmutableID bei allen Cloud Only Benutzern entfernen Get-MsolUser -All ` | ?{$_.immutableid -and -not $_.LastDirSyncTime} ` | Set-MsolUser -ImmutableId "$null" |
|
Exchange Hybrid |
Prüfen zumindest, ob es noch Connectoren zwischen dem Exchange Online Tenant und der lokalen Installation gibt, die sie besser entfernen sollten. |
|
Domains freigeben |
Wenn Sie nicht nur den Tenant loswerden wollen, sondern auch die Domains in einem neuen Tenant übertragen müssen, dann sollten Sie entsprechend ihrer Migrationsplanung die Domain entfernen. Damit wird die Domain auch als "Accepted Domain" in Exchange Online entfernt. |
Weitere Links
- ADSync Multi Forest
- ADSync aus- und wieder einschalten
- Seamless Single Sign On
- SourceAnchor
- Office 365 Domain Umzug/Löschen
-
Office 365: What happens when you disable AD
Connect?
https://www.slashadmin.co.uk/office-365-what-happens-when-you-disable-ad-connect/