IDFix

IDFix hat nichts mit einem gallischen Hund zu tun, sondern ist ein kleines Validierungsprogramm von Microsoft, um ihre On-Prem Active Directory Umgebung zu überprüfen.

Warum checken?

Sobald eine Firma eine gewisse Größe erreicht hat oder häufiger Änderungen an den Benutzern und Gruppen erfolgen, werden die Objekte in der Cloud über einen Verzeichnisabgleich mit AADConnect synchronisiert. Das Azure-AD aber hat einige Beschränkungen und Anforderungen, die in ihrem lokalen Active Directory erst einmal nicht stören, z.B.

  • UPN-Domain muss eine gültige DNS-Domain sein
    Ansonsten funktioniert z.B. ADFS und die komplette Anmeldung in der Cloud nicht
  • Fehler im MailNickName
  • Ungültige SMTP-Adresse
  • Maximal 200 Proxy Addresses

Auf der Seite Office 365:ADSync Check habe ich schon beschrieben, welche Felder z.B. für den ADSync bestimmte Vorgaben erfüllen müssen. Nicht alles Fälle kann IDFix heute schon erkennen aber die, die Sie damit finden, sollten Sie umgehend korrigieren. Das Ziel dabei ist ja gerade, dass der DirSync keine Fehler beim Abgleich aufzeigt und wenn Dinge vergessen wurden, es wirklich nur wenige Probleme sind.

IDFix herunterladen und installieren

Microsoft hatte IDFix ursprünglich als Closed Source Applikation im Download-Center bereit gestellt. Mittlerweile gibt es das Programm als auch den Source Code auf GitHub. Die alte Version ist aber auch noch vorhanden.

Hier der Download-Link zur aktuellen Version auf GitHub

IdFix Dirsync-Fehlerbehebungstools 2.x
https://GitHub.com/microsoft/idfix
https://GitHub.com/microsoft/idfix/blob/master/publish/setup.exe
(Net 4.7.1 erforderlich)

IDFix ist eine "ClickOnce"-Anwendung und das Setup lädt das eigentliche Programm erst herunter. Manchmal klappt das aber nicht.

Die Fehlermeldung im Log lautet

Launching Application.
URLDownloadToCacheFile failed with HRESULT '-2146697208'
Error: An error occurred trying to download 'https://raw.GitHubusercontent.com/Microsoft/idfix/master/publish/IdFix.application'

In meisten Fällen hat es geholfen in der Registrierung den folgenden Schlüssel temporär von 1 auf 0 zu setzen.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"DisableCachingOfSSLPages"=dword:00000000

Wenn das nicht funktioniert, kann es auch reichen das Manifest von "https://raw.githubusercontent.com/Microsoft/idfix/master/publish/IdFix.application" herunter zu laden, als idfix.application zu speichern und im Explorer zu starten.

Die alte Version ist NICHT mehr vorhanden.

(OFFLINE): IdFix DirSync Error Remediation Tool 1.09
http://www.microsoft.com/en-us/download/details.aspx?id=36832
http://go.microsoft.com/fwlink/?LinkID=286107

Die ZIP-Datei enthält neben dem EXE-Programm auch ein Word-Dokument, in dem all die Checks beschrieben werden, die IDFix so durchführt. Entpacken Sie einfach die Datei in leeren Ordner und starten Sie die EXE-Datei. Eine weitere Installation ist nicht erforderlich.

IDFix im Einsatz

Das Tool wird auf einem Client in ihrer Domäne aufgerufen, liest ihr AD aus und generiert eine Liste der Objekte, die Sie vor dem DirSync noch fixen sollten. In der Version 1.09 habe ich das erst mal folgenden Disclaimer gesehen.

Leider gibt es keine Kommandozeile zu IDFix, um den Check zu automatisieren. 

In diesem Beispiel wurden noch 5 von 848 Objekten als "defekt" gemeldet. Bei allen fünf ist im mailnickname ein aus Sicht von Office 365 ungültiges Zeichen.

Ich habe diese Konten aber nicht gefixt, denn sie werden gar nicht in die Cloud migriert. Bei "echten" Benutzern hingegen sollte man schon vorher prüfen, ob die vorgeschlagene Änderung in der Spalte "Update" korrekt ist und dann die Korrektur anwenden.

ACHTUNG:
Hier ist das Programm gefährlich, da es z.B. Felder wie den MailNickname direkt ändert. Wenn Sie eine Empfängerrichtlinie in der Form %m@domain.tld haben, dann wird Exchange 2007 und höher dies nicht bemerken. Hier gibt es anders als Bei Exchange 2000/2003 keinen RUS mehr. Bei Exchange 2007 und höher erfolgt das Management anders. Siehe E2K7 Empfängermanagement. Sie sollten hinterher auf die Objekte also noch einen Update-Recipient machen oder die Korrekturen über den "üblichen" Weg durchführen.

Das hilft aber nicht gegen allgemeine "Probleme" von Benutzer und Gruppen, die Office 365 und insbesondere den DirSync immer wieder stören. IDFIX wird in der Regel auch einmal gestartet aber das schützt nicht vor Problemen mit danach falsch konfigurierten Benutzern. Diese finden Sie dann aber im Eventlog des DirSync-Servers.

Konfiguration

In dem Dialog zu den Einstellungen von IDFix gibt es nicht viel überraschendes. Es nutzt per Default Office 365 Multi Tenant, filtert auf "Person" und "Group", fragt einen GC des lokale Active Directory nutzt nutzt die Credentials des angemeldeten Benutzers.

Die wenigsten Administratoren oder Anwender werden hier etwas ändern müssen außer sie arbeiten als Consultant und unten das Programm auf einem PC, der zwar im LAN aber nicht Mitglied des Forest ist und daher explizite Server und Anmeldedaten erforderlich sind.

Weitere Links