Dirsync aus- und einschalten

Was passiert eigentlich, wenn ich auf meinem Office 365 Tenant die Funktion "DirSync" abschalte und wieder einschalte. Das beschreibe ich auf dieser Seite.

Diese Aktion ist nicht der Regelfall sondern soll eher dem Verständnis dienen. Ich kann mit aber durchaus vorstellen, dass die Kenntnisse z.B.: bei einer Migration von Benutzern in einen anderen Forest von Interesse sein kann. Ehe Sie an ihrem produktiven Forest solche Änderungen vornehmen, sollten Sie alle anderen Optionen ausgeschlossen haben. Auch eine zweite Meinung ist durchaus lohnenswert, damit die Ergebnisse wie gewünscht ausfallen.

Achtung:
Ein/Ausschalten des Verzeichnisabgleich auf dem Tenant kann je nach Umgebung bis zu 72 Stunden dauern. Sie sollten genau wissen, wann Sie welchen Schritt machen oder sich vorher beraten lassen.

Ausgangssituation

Ich habe also einen meiner Office 365 Tenants mit aktiviertem AADConnect genommen und mit Testdaten versehen. In meinem Tenant gab es natürlich noch alle Benutzer und Gruppen:

Auch per PowerShell kann ich anhand des Attributs "LastDirSyncTime" sehen, wann welche Objekte repliziert wurden.

PS C:\> Get-MsolUser | ft Userprincipalname,lastDirsynctime

UserPrincipalName                               LastDirSyncTime
-----------------                               ---------------
cloudUser1@carius.onmicrosoft.com
cloudUser2@carius.onmicrosoft.com
User4@carius.onmicrosoft.com                    10.03.2016 21:26:28
raum2@msxfaq.net
testUser@carius.de                              26.09.2016 12:51:56
User5@carius.onmicrosoft.com                    10.03.2016 21:26:28
NoUPN@msxfaq.net                                22.03.2016 17:09:33
raum1@msxfaq.net User2@carius.onmicrosoft.com   10.03.2016 21:26:28
User9@carius.de                                 23.05.2016 14:07:22
Sync_DCUser_20b512fdfadd@carius.onmicrosoft.com 10.03.2016 21:23:35
frank@carius.de                                 01.06.2017 22:03:32
User1@carius.de                                 19.03.2016 10:46:42
User3@carius.onmicrosoft.com                    10.03.2016 21:26:28
User7@msxfaq.net                                22.05.2016 21:51:56
Shared1@msxfaq.net

Sie sehen hier schon eine nette Testserie. Auch bei synchronisierten Gruppen gibt es das Feld "LastDirSyncTime". Allerdings kein Feld "ImmutableID". Auch der AADConnect-Status ist sauber.

DirSync abschalten

Es gibt eigentlich nur ganz wenige Fälle, wann ein DirSync abgeschaltet werden sollte. Aber wenn es mal erforderlich wird, dann muss man schon schauen, was passiert.

Achtung:
Das Abschalten eines DirSync kann bis zu 72h dauern.
Quelle Directory synchronization for Office 365, Azure, or Intune can't be activated or deactivated
https://support.microsoft.com/en-us/help/2654338/directory-synchronization-for-office-365-azure-or-intune-can-t-be-acti

Zuerst also das Abschalten:

# Mit Office 365 verbinden
Connect-MSOLService

# DirSync abschalten
Set-MsolDirSyncEnabled -EnableDirSync $false

# Status abfragen
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

In der Regel wird die Statusabfrage sehr schnell mit einem "$False" beantwortet. Das reicht aber noch nicht, da ein Hintergrundprozess nun das AzureAD aufräumen muss. Erst die erweiterte Ausgaben liefert diese Information

PS C:\> (Get-MSOLCompanyInformation) | fl dirsync*,directory*

DirSyncApplicationType : 1651564e-7ce4-4d99-88be-0a65050d8dc3
DirSyncClientMachineName : DC01
DirSyncClientVersion : 1.4.38.0
DirSyncServiceAccount : Sync_DC01_12345678@carius.onmicrosoft.com
DirectorySynchronizationEnabled : False
DirectorySynchronizationStatus : PendingDisabled

Solange das Feld "DirectorySynchronizationStatus" noch auf "PendingDisabled" steht, können Sie auch keinen neuen ADSync einrichten und wenn ADSync noch aktiv ist, dann sehen Sie auch hier den Fehler:

Das Abschalten des DirSync blockiert den AADConnect-Prozess.

Hintergrundjob abwarten

Allein das Abschalten der AADConnect bedeutet daher noch nicht, dass die Objekte im Office 365 Tenant schon "frei" sind. Im Hintergrund von Office 365 läuft ein Prozess, der bis zu 72h benötigt um aus den "Synched with Active Directory" einen "In Cloud " Objekt zu wandeln.

Mit folgendem Befehl können Sie den Status pro Benutzer sehen.

# Anzeigen aller Benutzer 
Get-MsolUser | ?{$_.lastDirsynctime}

# Anzeigen aller Verteiler
Get-MsolGroup | ?{$_.lastDirsynctime}

Wenn der DirSync abgeschaltet und der Cleanup-Prozess durchgelaufen ist, dann ist das Feld "lastDirsynctime" leer ($null)

Auch die Webseite verändert ist. Hier verschwindet die Spalte "Sync Type". Die Spalte verschwindet, nachdem der Prozess gelaufen ist und damit die Abschaltung des DirSync auch abgeschlossen wurde:

Die Spalte ist einfach verschwunden. Allerdings zeigt diese Tabelle nicht alles. Denn ein Blick per PowerShell zeigt interessante Felder:

PS C:\> Get-MsolUser | ft UserPrincipalName,immutableid,LastDirSyncTime
UserPrincipalName                               ImmutableId              LastDirSyncTime
-----------------                               -----------              --------------- 
User4@carius.onmicrosoft.com                    7fYQXz7cz0yw1AoU5PML5g==
raum2@msxfaq.net
testUser@carius.de                              QEXSU3DIB0iwwFgyOLp0Mw== 
User5@carius.onmicrosoft.com                    jzvTkG2A8kmfizuCDSTbaw==
NoUPN@msxfaq.net                                ay4f2rY3b0m+760P45Ju2g==
raum1@msxfaq.net User2@carius.onmicrosoft.com   AxwAYaSJZEKIuQ1gUndETA== 
User9@carius.de                                 VuOFtgUp8k+Rmmf/bXj6bw==
Sync_DC_1234567890ab@carius.onmicrosoft.com
frank@carius.de                                 0AELcaZXH06GiIq4Ed+cqA== 
User1@carius.de                                 9PuWxEPKY0S9o18N1rN2LQ==
ingrid@carius.de User3@carius.onmicrosoft.com   MMqDsdGGjU2cwXh2v3QWOA== 
User7@msxfaq.net                                YlmLRIg5F0ee+5JH5PH1GQ==
Shared1@msxfaq.net
admin@carius.onmicrosoft.com

Obwohl alle Benutzer keine "LastDirSyncTime" haben und damit nicht mehr als "Synced with AD" sind, so hat der Aufräumprozess vergessen, die "ImmutableID" zu entfernen.

Solange die Objekte noch eine "ImmutableID" haben, kann AADConnect die Objekte erst mal nicht wieder matchen. Sie bekommen auch nicht alleine wieder den "Sync from AD" Status. Der Cleanup-Prozess entfernt wirklich das "lastDirsynctime", welches für AzureAD auch ein Zeichen ist, dass das Objekt "InSync" ist

Richtige "Cloud only"-Objekte haben auch keine ImmutableID. Das wird gleich beim "Matching" wichtig. Es wurden natürlich keine Objekte durch da Abschalten des DirSync gelöscht, so dass auch noch das Dienstkonto des AADConnect-Service vorhanden ist. Das sollten Sie nicht löschen, wenn Sie die gleiche Instanz des AADConnect später wieder in Betrieb nehmen.

Optional Cleanup

Sie haben nun Objekte im Tenant, die keinen DirSync mehr haben aber immer noch mit einer ImmutableID versehen sind. Das stört nicht, wenn sie keine weitere Konfiguration von ADSync geplant haben. Wenn Sie aber z.B. bei einem Umzug, Verkauf oder Merger die Identitäten in einem anderen AD-Forest nutzen wollen, dann sollten sie das "Matching" beachten.

  • HardMatch
    Wenn das Objekte eine ImmutableID hat, dann versucht ADSync das Objekt mit einem lokalen AD-Objekt zu verbinden, welches die gleiche ObjectGUID bzw. msds-consitencyGUID hat. Siehe dazu auch SourceAnchor. Sie können dieses Verhalten nutzen, um lokal die Inhalte vorzubereiten und so zuverlässig die Konten wieder zuzuordnen.
  • SoftMatch
    Ansonsten versucht ADSync anhand des Inhalts von "Mail" ein vorhandenes Objekt in der Cloud zu verbinden.

Wenn Sie noch nicht wissen, wann Sie wieder ADSync einrichten, dann tendiere ich dazu, das Feld "immutableID" zu leeren, denn vielleicht wird es vergessen und bei der nächsten Installation ist die Überraschung dann groß. Das Feld können Sie per PowerShell schnell leeren. So entfernen Sie die ImmutableID auf allen Objekten in ihrem Tenant:

# Verbindung herstellen
connect-msolservice

#ImmutableID bei allen Cloud Only Benutzern entfernen
Get-MsolUser -All `
   | ?{$_.immutableid -and -not $_.LastDirSyncTime} `
   | Set-MsolUser -ImmutableId "$null"

Hinweis: Die "Anführungsstriche" bei der Angabe von $null beim Parameter ImmutableID ist notwendig, da ansonsten die ImmutableID nicht geleert wird.

Das geht natürlich nur für Objekte mit dem Status "Cloud Only". Wenn Sie dies bei einem Objekt versuchen, welches schon wieder einen Wert in "LastDirSyncTime" hat, dann scheitert der Aufruf mit einem:

PS C:\> Set-MsolUser -UserPrincipalName ADUser1@carius.de -ImmutableId "$null"
Set-MsolUser : Unable to update parameter. Parameter name: IMMUTABLEID.
In Zeile:1 Zeichen:1
+ Set-MsolUser -UserPrincipalName ADUser1@carius.de -ImmutableId "$null ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [Set-MsolUser], MicrosoftOnlineException
    + FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.PropertyNotSettableException,Microsoft.Online.Administration.Automation.SetUser

Eventuell möchten Sie auch das Feld "msds-consitencyGUID" im lokalen Active Directory leeren.

get-aduser `
   -filter * `
| %{`
      Write-Host "Update User $($_.distinguishedname)"
      Set-ADUser `
         -Identity $_.distinguishedname `
          -clear "ms-DS-ConsistencyGUID" `
}

get-adgroup `
   -filter * `
| %{`
      Write-Host "Update Group $($_.distinguishedname)"
      Set-ADGroup `
         -Identity $_.distinguishedname `
          -clear "ms-DS-ConsistencyGUID" `
}

Matchen und Neuanlage

Wenn ich den DirSync auf dem Tenant aktiviere, dann habe ich ja das Ziel auch wieder einen AADConnect einzurichten oder wieder in Betrieb zu nehmen. Dabei gibt es nun mehrere Szenarien

  • Bestehender AADConnect reaktivieren
    Dabei sind die früher schon replizierten Objekte ja immer noch im Metaverse. In dem Fall passen auch "ImmutableID" im MetaVerse und das Feld ms-ds-consistencyGUID zusammen
  • Neuer AADConnect einrichten
    Wenn nur der AADConnect-Server "verloren" gegangen ist, dann können Sie den einfach frisch installieren. Er liest dann aus dem lokalen AD die Objekte samt "ms-ds-consistencyGUID" aus und kann so die Objekte wieder "matchen"
  • Neuer Forest
    Ganz anders sieht es aus, wenn Sie auch das Active Directory wieder aufgebaut haben. In dem Fall haben Sie zwei Optionen, um ein Matching zu unterstützen. Sie können in der Cloud die ImmutableID entfernen und dann auf das "Normal" Matching anhand der Mailadresse bzw. des UPN vertrauen. Oder sie setzen On-Premises bei den Benutzern den richtigen Wert in das Feld "ms-ds-ConsistencyGUID"

Wenn keine der drei Optionen greift, dann legt AADConnect einfach neue Benutzer an und vergibt dynamisch einen neuen UPN in der Cloud, wenn der UPN durch ein früheres Objekt noch "belegt" ist. Um also hier ein "Matching" bei einer ganz neuen lokalen AD-Forest-Installation mit neuen Benutzern zu erreichen, müssen Sie dem System beim Matching helfen.

  • Sie pflegen das Feld "ms-ds-consistencyGUID" auf der Quelle
    Damit AADConnect diesen Wert importiert und auf das bestehende Objekt in der Cloud verbindet. Dazu müssen Sie aber das BASE64-codierte Feld in der Cloud auslesen und im AD als HEX-Wert eintragen
  • Sie leeren die ImmutableID in der Cloud
    Dann läuft das ganz normale "Matching" (Siehe dazu auch ADSync User Matching) auf Basis der Maildresse oder des UPN ab.

Ich würde den einfachen Weg wählen und die "Cloud Only"-User in Office 365 einfach um ihre ImmutableID berauben und auf das "Matchen" vertrauen.

Dieser Schritt ist wirklich nur dann notwendig, wenn Sie die Objekte im lokalen Active Directory Forest neu angelegt haben und diese dort keinen Wert in "ms-DS-consistentcyGUID" haben. (Siehe auch SourceAnchor und ADMT

Wenn Sie dann ein passendes Objekt im lokalen AD haben, geht es sehr schnell wieder weiter.

Achtung: Lokales AD sticht AzureAD
Sie sollten vorab auf jeden Fall sicherstellen, dass die On-Prem Benutzer alle erforderlichen Properties haben. Dazu zählen auch Exchange Properits (RemoteMailbox, SMTP-Adressen), Skype for Business Einstellungen und natürlich die allgemeinen Stammdaten wie Telefonnummern, Firma, Abteilung, Adresse und was Sie sonst noch als relevant betrachten.

Ich habe noch kein Skript oder Programm gesehen, welches die Daten von den Objekten in einem Office 365 Tenant vorab extrahiert und an Neu angelegte lokale AD-Benutzer so überträgt, dass Sie beim späteren AADConnect unverändert angewendet werden. Dabei müsste es ja auch z.B. eine Exchange Online Mailbox im lokalen AD als "Remote Mailbox" provisionieren, damit AADConnect dann die Werte in der Cloud nicht beschädigt..

Tue, was du willst aber

Jetzt, wo der DirSync abgeschaltet ist, können wir natürlich alle Änderungen an den Office 365 Objekten vornehmen, die wie vornehmen wollen. Auch per Weboberfläche können Benutzer gelöscht und Gruppenmitgliedschaften verändert werden. Sie können per Exchange Management Shell oder ECP auch die Exchange Eigenschaftender Anwender bearbeiten. Alles ist wieder so als hätte es nie einen DirSync gegeben.

Alle Änderungen sind aber nur solange "gültig", bis sie wieder einen DirSync einrichten und diese Objekte auf ein lokalen AD-Objekt verbunden werden. Dann bestimmt wieder das lokale AD bzw. die Eigenschaften des AD-Objekt.

Insofern sollten Sie also nicht so viel ändern, wenn eine spätere Reaktivierung eines AADConnect geplant ist.

Reaktivieren des DirSync

So, wie wir den DirSync auf dem Tenant deaktiviert haben, können wir ihn auch wieder aktivieren. Das geht diesmal gefühlt ohne Wartezeit. Aber acuh hier

Achtung:
Das Erneute Einschalten eines DirSync kann bis zu 72h dauern.
Quelle Directory synchronization for Office 365, Azure, or Intune can't be activated or deactivated
https://support.microsoft.com/en-us/help/2654338/directory-synchronization-for-office-365-azure-or-intune-can-t-be-acti

# Mit Office 365 verbinden
Connect-MSOLService

# DirSync anschalten
Set-MsolDirSyncEnabled -EnableDirSync $true

# Status abfragen
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

Sie können diese Änderung auch durch eine Installation eines AADConnect oder eine Aktualisierung der Konfiguration eines noch bestehenden AADConnect durchführen. Das Ergebnis ist identisch. Wenn Sie ihren noch besehenden lokalen AADConnect-Service beobachten, dann sollte dieser nach einiger Zeit dann auch wieder "live" gehen. Interessant wird es dann natürlich zu sehen, was mit den Objekten passiert. Im Azure-AD sind die Objekte nun ja "Cloud Objekte". Die Spalte "Sync Type" ist nun wieder sichtbar:

Noch sind die Benutzer alle "in der Cloud", da der DirSync aktiviert ist aber AADConnect noch keinen Lauf gestartet hat.

Sobald nun aber ADSync seinen Lauf gestartet hat und das Matching auf bestehende Objekte anhand der Mailadresse oder UPN  bzw. bei Gruppen anhand der Mailadresse funktioniert, bekommen die Objekte wieder den Status "Synced with AD".

Weitere Links