IDFix
IDFix hat nichts mit einem gallischen Hund zu tun, sondern ist ein kleines Validierungsprogramm von Microsoft, um ihre On-Prem Active Directory Umgebung zu überprüfen.
Beachten Sie dazu auch Office 365:ADSync Check und Office 365:OnRamp Tool
Warum checken?
Sobald eine Firma eine gewisse Größe erreicht hat oder häufiger Änderungen an den Benutzern und Gruppen erfolgen, werden die Objekte in der Cloud über einen Verzeichnisabgleich mit AADConnect synchronisiert. Das Azure-AD aber hat einige Beschränkungen und Anforderungen, die in ihrem lokalen Active Directory erst einmal nicht stören, z.B.
- UPN-Domain muss eine gültige DNS-Domain
sein
Ansonsten funktioniert z.B. ADFS und die komplette Anmeldung in der Cloud nicht - Fehler im MailNickName
- Ungültige SMTP-Adresse
- Maximal 200 Proxy Addresses
Auf der Seite Office 365:ADSync Check habe ich schon beschrieben, welche Felder z.B. für den ADSync bestimmte Vorgaben erfüllen müssen. Nicht alles Fälle kann IDFix heute schon erkennen aber die, die Sie damit finden, sollten Sie umgehend korrigieren. Das Ziel dabei ist ja gerade, dass der DirSync keine Fehler beim Abgleich aufzeigt und wenn Dinge vergessen wurden, es wirklich nur wenige Probleme sind.
IDFix herunterladen und installieren
Microsoft hatte IDFix ursprünglich als Closed Source Applikation im Download-Center bereit gestellt. Mittlerweile gibt es das Programm als auch den Source Code auf GitHub. Die alte Version ist aber auch noch vorhanden.
Hier der Download-Link zur aktuellen Version auf GitHub
IdFix Dirsync-Fehlerbehebungstools
2.x
https://GitHub.com/microsoft/idfix
https://GitHub.com/microsoft/idfix/blob/master/publish/setup.exe
(Net 4.7.1 erforderlich)
IDFix ist eine "ClickOnce"-Anwendung und
das Setup lädt das eigentliche Programm erst herunter.
Manchmal klappt das aber nicht.
Die Fehlermeldung im Log lautet
Launching Application.
URLDownloadToCacheFile failed with HRESULT '-2146697208'
Error: An error occurred trying to download
'https://raw.GitHubusercontent.com/Microsoft/idfix/master/publish/IdFix.application'
In meisten Fällen hat es geholfen in der Registrierung den
folgenden Schlüssel temporär von 1 auf 0 zu setzen.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "DisableCachingOfSSLPages"=dword:00000000
Wenn das nicht funktioniert, kann es auch reichen das Manifest von "https://raw.githubusercontent.com/Microsoft/idfix/master/publish/IdFix.application" herunter zu laden, als idfix.application zu speichern und im Explorer zu starten.
Die alte Version ist NICHT mehr vorhanden.
(OFFLINE): IdFix DirSync Error Remediation Tool
1.09
http://www.microsoft.com/en-us/download/details.aspx?id=36832
http://go.microsoft.com/fwlink/?LinkID=286107
Die ZIP-Datei enthält neben dem EXE-Programm auch ein Word-Dokument, in dem all die Checks beschrieben werden, die IDFix so durchführt. Entpacken Sie einfach die Datei in leeren Ordner und starten Sie die EXE-Datei. Eine weitere Installation ist nicht erforderlich.
- Microsoft - IdFix Anleitung
https://microsoft.GitHub.io/idfix/ - Herunterladen und Ausführen des Office
365 IdFix-Tools
https://docs.microsoft.com/de-de/office365/enterprise/install-and-run-idfix - Office 365 IdFix-Transaktionsprotokoll
https://docs.microsoft.com/de-de/office365/enterprise/idfix-transaction-log
IDFix im Einsatz
Das Tool wird auf einem Client in ihrer Domäne aufgerufen, liest ihr AD aus und generiert eine Liste der Objekte, die Sie vor dem DirSync noch fixen sollten. In der Version 1.09 habe ich das erst mal folgenden Disclaimer gesehen.
Leider gibt es keine Kommandozeile zu IDFix, um den Check zu automatisieren.
In diesem Beispiel wurden noch 5 von 848 Objekten als "defekt" gemeldet. Bei allen fünf ist im mailnickname ein aus Sicht von Office 365 ungültiges Zeichen.
Ich habe diese Konten aber nicht gefixt, denn sie werden gar nicht in die Cloud migriert. Bei "echten" Benutzern hingegen sollte man schon vorher prüfen, ob die vorgeschlagene Änderung in der Spalte "Update" korrekt ist und dann die Korrektur anwenden.
ACHTUNG:
Hier ist das Programm gefährlich, da es z.B.
Felder wie den MailNickname direkt ändert. Wenn
Sie eine Empfängerrichtlinie in der Form
%m@domain.tld haben, dann wird Exchange 2007 und
höher dies nicht bemerken. Hier gibt es anders
als Bei Exchange 2000/2003 keinen
RUS mehr. Bei Exchange 2007 und höher
erfolgt das Management anders. Siehe
E2K7
Empfängermanagement. Sie sollten hinterher auf die Objekte also noch
einen Update-Recipient machen oder die
Korrekturen über den "üblichen" Weg durchführen.
Das hilft aber nicht gegen allgemeine "Probleme" von Benutzer und Gruppen, die Office 365 und insbesondere den DirSync immer wieder stören. IDFIX wird in der Regel auch einmal gestartet aber das schützt nicht vor Problemen mit danach falsch konfigurierten Benutzern. Diese finden Sie dann aber im Eventlog des DirSync-Servers.
- Vorbereiten von Verzeichnisattributen
für die Synchronisierung mit Office 365
mithilfe des IdFix-Tools
https://docs.microsoft.com/de-de/office365/enterprise/prepare-directory-attributes-for-synch-with-idfix
Konfiguration
In dem Dialog zu den Einstellungen von IDFix gibt es nicht viel überraschendes. Es nutzt per Default Office 365 Multi Tenant, filtert auf "Person" und "Group", fragt einen GC des lokale Active Directory nutzt nutzt die Credentials des angemeldeten Benutzers.
Die wenigsten Administratoren oder Anwender werden hier etwas ändern müssen außer sie arbeiten als Consultant und unten das Programm auf einem PC, der zwar im LAN aber nicht Mitglied des Forest ist und daher explizite Server und Anmeldedaten erforderlich sind.
Weitere Links
- OnRamp Tool
- Office 365:ADSync Check
- 2643629 One or more objects don't sync when the Azure Active Directory Sync tool is used
- Prepare for directory
synchronization to Microsoft 365
https://learn.microsoft.com/en-us/microsoft-365/enterprise/prepare-for-directory-synchronization?view=o365-worldwide#2-directory-object-and-attribute-preparation - Plan für directory
synchronization für Office 365
http://technet.microsoft.com/en-us/library/hh852469.aspx - Prepare User-related
attributes für Office 365
deployment
http://technet.microsoft.com/en-us/library/hh852533.aspx - Is your Active Directory
ready für Office 365?
http://markparris.co.uk/2011/06/14/is-your-active-directory-ready-for-office-365/ - IdFix DirSync Error Remediation Tool
http://www.microsoft.com/en-us/download/details.aspx?id=36832 - Install and run the Office 365 IdFix
tool
https://support.office.com/en-us/article/Install-and-run-the-Office-365-IdFix-tool-f4bd2439-3e41-4169-99f6-3fabdfa326ac - Prepare directory attributes for
synchronization with Office 365 by using the
IdFix tool
https://support.office.com/en-us/article/Prepare-directory-attributes-for-synchronization-with-Office-365-by-using-the-IdFix-tool-497593cf-24c6-491c-940b-7c86dcde9de0 - One or more objects don't sync when the
Azure Active Directory Sync tool is used
https://support.microsoft.com/en-us/help/2643629/one-or-more-objects-don-t-sync-when-the-azure-active-directory-sync-to - How the proxyAddresses attribute is populated in Azure AD
https://support.microsoft.com/en-us/help/3190357/how-the-proxyaddresses-attribute-is-populated-in-azure-ad - Default checks when implementing Hybrid
Identity,
Part 1: Introduction and Microsoft tooling
https://dirteam.com/sander/2016/03/07/default-checks-when-implementing-hybrid-identity-part-1-introduction-and-microsoft-tooling/
Part 2: Orphaned UPN Suffixes
https://dirteam.com/sander/2016/03/10/default-checks-when-implementing-hybrid-identity-part-2-orphaned-upn-suffixes/
Part 3: Linked Mailboxes
https://dirteam.com/sander/2016/03/14/default-checks-when-implementing-hybrid-identity-part-3-linked-mailboxes/
Part 4: Groups with large memberships
https://dirteam.com/sander/2016/07/14/default-checks-to-perform-when-implementing-hybrid-identity-part-4-groups-with-large-memberships/ - Exporting from the IdFix Eror
Remediation Tool like a pro
https://dirteam.com/sander/2015/06/02/exporting-from-the-idfix-eror-remediation-tool-like-a-pro/ - Ten things you should know about Azure
AD Connect and Azure AD Sync
http://dirteam.com/sander/2015/10/19/ten-things-you-should-know-about-azure-ad-connect-and-azure-ad-sync/ - Install and run the Office 365 IdFix
tool
https://support.office.com/en-us/article/Install-and-run-the-Office-365-IdFix-tool-f4bd2439-3e41-4169-99f6-3fabdfa326ac?ui=en-US&rs=en-US&ad=US - Prepare directory attributes for
synchronization with Office 365 by using the
IdFix tool
https://support.office.com/en-us/article/Prepare-directory-attributes-for-synchronization-with-Office-365-by-using-the-IdFix-tool-497593cf-24c6-491c-940b-7c86dcde9de0?ui=en-US&rs=en-US&ad=US - Office 365 – IdFix DirSync Error
Remediation Tool
http://blog.hametbenoit.info/Lists/Posts/Post.aspx?ID=537 - Office 365 – Clean up your AD with IdFix
before Migrating
https://yellowduckguy.wordpress.com/2014/09/16/office-365-clean-up-your-ad-with-idfix-before-migrating/ - IdFix DirSync Error Remediation Tool
v1.08
http://www.msexchange.org/blogs/silva/ehlo/idfix-dirsync-error-remediation-tool-v108.html - IdFix – discovery and remediation of
Active Directory objects
http://semperis.com/2016/01/11/idfix-discovery-and-remediation-of-active-directory-objects/ - IdFix TopLevelDomain Error
https://www.easy365manager.com/idfix-topleveldomain-error/