von Redaktion IT-A…
Lesezeit
2 Minuten
Azure AD Connect einrichten und betreiben (2)
Azure- und Office365-Angebote bieten sich an, um zusätzliche IT-Ressourcen aus der Cloud zu beziehen. Jedoch bleiben sensible Dienste wie das Active Directory meist am heimischen Campus. Aus diesem Grund kommt hybriden Szenarien große Bedeutung zu. In Bezug auf das Active Directory bedeutet dies, Objekte aus dem Verzeichnisdienst mit der Cloud zu synchronisieren. Azure AD Connect baut die Brücke zwischen lokaler IT und der Cloud. Im zweiten Teil des Workshops schauen wir uns das Setup des Diensts an, erklären, wie Sie Synchronisationsintervalle festlegen und diskutieren, ob Hochverfügbarkeit nötig ist.
Vorbereitende Maßnahmen
Neben einem aufgeräumten AD sind für die Inbetriebnahme noch Informationen wichtig, die der Installationsassistent beim Setup abfragt. Um Azure AD Connect auf dem Server einzurichten, benötigen Sie für jede der Domänen, auf die Sie Zugriff nehmen möchten, die jeweiligen Kontoinformationen. Achtung, der Setup-Wizard prüft die Berechtigungen der Konten nicht. Sollte hier etwas nicht passen, bekommen Sie die Quittung erst später, wenn es zu Problemen bei der Synchronisation kommt.
Für eine Standardimplementierung, bei der Objekte lediglich in Richtung Azure AD synchronisiert werden, sind keine speziellen Berechtigungen für diese Dienstkonten nötig. Je nachdem, in welcher Ausprägung Sie Azure AD Connect betreiben, sind weitere Rechte nötig – insbesondere, wenn Informationen zurück in das lokale AD geschrieben werden. Eine Übersicht über die notwendigen Set-up-Konstellationen mit den jeweiligen Rechten finden Sie im TechNet [5].
Für Administratoren, die MIM-Know-how besitzen, ist interessant zu wissen, dass es sich hierbei um Konten handelt, in deren Kontext die Management-Agenten für die Verbindung zu den Quell-Verzeichnisdiensten agieren. Auch hier sind die Parallelen von Azure AD Connect zur MIM-Synchronisation ersichtlich. Des Weiteren wird standardmäßig der "userPrinzipalName" für die Anmeldung an Azure AD oder Office 365 benutzt. Wenn gewünscht, lässt sich dies bei der Installation ändern. Sie sollten in dem Fall bedenken, dass es dadurch zu Einschränkungen bei bestimmen Arbeiten in Office 365 kommen kann. Ergänzende Hinweise hierzu liefert ein TechNet-Beitrag [6].
Mindestens genauso wichtig ist die Art und Weise, wie Benutzer aus ihrer Umgebung eindeutig in Office 365 identifiziert werden. Ein Attribut oder eine Kombination mehrerer Attribute ist für eine eindeutige Verbindung zwischen Objekten aus dem lokalen AD und dem Azure AD zwingend erforderlich. Dies wird spannend, wenn Sie mehrere Gesamtstrukturen haben und einzelne Benutzer dort naturgemäß mehrmals vorkommen. Der Installationsassistent bietet in der GUI weitergehende Informationen darüber, was in welcher Konstellation Sinn ergibt.
Setup von Azure AD Connect
Gehen wir davon aus, das der SQL-Server bereitsteht und Ihre Domäne – in unserem Beispiel KBCORP.DE – in Office 365 registriert ist, können wir uns direkt dem Azure-AD-Connect-Server widmen. Probleme kann eventuell noch das .NET-Framework bereiten, sollte die passende Version nicht installiert sein. Die Anforderungen hängen davon ab, welches Serverbetriebssystem auf dem AD-Connect-Server läuft (siehe Software-Anforderungen [6]).
Das Setup von Azure AD Connect auf dem Server ist ab da unspektakulär und beinhaltet keine wirklichen Fallstricke. Doch sollten Sie bei der Option für die "Angepasste Variante" abbiegen. Auch wenn Sie hier keine Änderungen an den Einstellungen treffen, so ist es interessant zu sehen, welche Möglichkeiten es gibt und mit welchen Einstellungen diese vorkonfiguriert werden.
Nach dem erfolgreichen Setup finden Sie verschiedene Programme auf dem Server. Da wäre zunächst Azure AD Connect. Es ist quasi das Setup und bietet die Möglichkeit, die aktuelle Konfiguration anzuschauen oder gegebenenfalls abzuändern. Der "Synchronization Rules Editor" eignet sich zum Feintuning, was und wie es synchronisiert wird, auch Transformationen einzelner Attribute sind hier möglich. Ein weiteres Programm ist der "Synchronization Service Manager". Ein alter Bekannter, den es bei der MIM-Synchronisation auch gibt. Hier lässt sich betrachten, wie das Setup die "Management Agents" und die "Run Profiles" eingerichtet hat.
Auch haben Sie von hier Zugriff auf die "Connector Spaces" und die "Metaverse". Um hier Änderungen vorzunehmen, sollten Sie aber genau wissen was Sie tun, denn für Modifikationen stehen eigentlich Azure AD Connect oder der Synchronization Rule Editor parat, die den Synchronization Service bei Anpassungen getriggert durch die GUI fix und fertig konfigurieren. Azure AD Connect ist nach dem Setup überhaupt nicht codelastig, auch wenn unter der Haube ein MIM tickt. Bei einem reinen MIM-Setup sieht das anders aus, hier geht ohne programmiertes Regelwerk fast gar nichts. In diesem Fall bleiben Ihnen bei Azure AD Connect Codeanpassungen initial erspart und Sie können direkt loslegen.
Seite 1: Setup von Azure AD Connect
Seite 2: Hochverfügbarkeit nicht unbedingt nötig
dr/ln/Klaus Bierschenk
[5] https://docs.microsoft.com/de-de/azure/active-directory/hybrid/reference-connect-accounts-permissions#create-the-ad-ds-account
[6] https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/operations/configuring-alternate-login-id
Neben einem aufgeräumten AD sind für die Inbetriebnahme noch Informationen wichtig, die der Installationsassistent beim Setup abfragt. Um Azure AD Connect auf dem Server einzurichten, benötigen Sie für jede der Domänen, auf die Sie Zugriff nehmen möchten, die jeweiligen Kontoinformationen. Achtung, der Setup-Wizard prüft die Berechtigungen der Konten nicht. Sollte hier etwas nicht passen, bekommen Sie die Quittung erst später, wenn es zu Problemen bei der Synchronisation kommt.
Für eine Standardimplementierung, bei der Objekte lediglich in Richtung Azure AD synchronisiert werden, sind keine speziellen Berechtigungen für diese Dienstkonten nötig. Je nachdem, in welcher Ausprägung Sie Azure AD Connect betreiben, sind weitere Rechte nötig – insbesondere, wenn Informationen zurück in das lokale AD geschrieben werden. Eine Übersicht über die notwendigen Set-up-Konstellationen mit den jeweiligen Rechten finden Sie im TechNet [5].
Für Administratoren, die MIM-Know-how besitzen, ist interessant zu wissen, dass es sich hierbei um Konten handelt, in deren Kontext die Management-Agenten für die Verbindung zu den Quell-Verzeichnisdiensten agieren. Auch hier sind die Parallelen von Azure AD Connect zur MIM-Synchronisation ersichtlich. Des Weiteren wird standardmäßig der "userPrinzipalName" für die Anmeldung an Azure AD oder Office 365 benutzt. Wenn gewünscht, lässt sich dies bei der Installation ändern. Sie sollten in dem Fall bedenken, dass es dadurch zu Einschränkungen bei bestimmen Arbeiten in Office 365 kommen kann. Ergänzende Hinweise hierzu liefert ein TechNet-Beitrag [6].
Bild 2: Über Azure AD Connect stellen Sie ein, wie Benutzer identifiziert werden sollen.
Mindestens genauso wichtig ist die Art und Weise, wie Benutzer aus ihrer Umgebung eindeutig in Office 365 identifiziert werden. Ein Attribut oder eine Kombination mehrerer Attribute ist für eine eindeutige Verbindung zwischen Objekten aus dem lokalen AD und dem Azure AD zwingend erforderlich. Dies wird spannend, wenn Sie mehrere Gesamtstrukturen haben und einzelne Benutzer dort naturgemäß mehrmals vorkommen. Der Installationsassistent bietet in der GUI weitergehende Informationen darüber, was in welcher Konstellation Sinn ergibt.
Setup von Azure AD Connect
Gehen wir davon aus, das der SQL-Server bereitsteht und Ihre Domäne – in unserem Beispiel KBCORP.DE – in Office 365 registriert ist, können wir uns direkt dem Azure-AD-Connect-Server widmen. Probleme kann eventuell noch das .NET-Framework bereiten, sollte die passende Version nicht installiert sein. Die Anforderungen hängen davon ab, welches Serverbetriebssystem auf dem AD-Connect-Server läuft (siehe Software-Anforderungen [6]).
Das Setup von Azure AD Connect auf dem Server ist ab da unspektakulär und beinhaltet keine wirklichen Fallstricke. Doch sollten Sie bei der Option für die "Angepasste Variante" abbiegen. Auch wenn Sie hier keine Änderungen an den Einstellungen treffen, so ist es interessant zu sehen, welche Möglichkeiten es gibt und mit welchen Einstellungen diese vorkonfiguriert werden.
Nach dem erfolgreichen Setup finden Sie verschiedene Programme auf dem Server. Da wäre zunächst Azure AD Connect. Es ist quasi das Setup und bietet die Möglichkeit, die aktuelle Konfiguration anzuschauen oder gegebenenfalls abzuändern. Der "Synchronization Rules Editor" eignet sich zum Feintuning, was und wie es synchronisiert wird, auch Transformationen einzelner Attribute sind hier möglich. Ein weiteres Programm ist der "Synchronization Service Manager". Ein alter Bekannter, den es bei der MIM-Synchronisation auch gibt. Hier lässt sich betrachten, wie das Setup die "Management Agents" und die "Run Profiles" eingerichtet hat.
Bild 3: Die Kommandozentrale des Synchronisationsdienstes – ein alter Bekannter von FIM/MIM.
Auch haben Sie von hier Zugriff auf die "Connector Spaces" und die "Metaverse". Um hier Änderungen vorzunehmen, sollten Sie aber genau wissen was Sie tun, denn für Modifikationen stehen eigentlich Azure AD Connect oder der Synchronization Rule Editor parat, die den Synchronization Service bei Anpassungen getriggert durch die GUI fix und fertig konfigurieren. Azure AD Connect ist nach dem Setup überhaupt nicht codelastig, auch wenn unter der Haube ein MIM tickt. Bei einem reinen MIM-Setup sieht das anders aus, hier geht ohne programmiertes Regelwerk fast gar nichts. In diesem Fall bleiben Ihnen bei Azure AD Connect Codeanpassungen initial erspart und Sie können direkt loslegen.
Seite 1: Setup von Azure AD Connect
Seite 2: Hochverfügbarkeit nicht unbedingt nötig
| Seite 1 von 2 | Nächste Seite >> |
dr/ln/Klaus Bierschenk
[5] https://docs.microsoft.com/de-de/azure/active-directory/hybrid/reference-connect-accounts-permissions#create-the-ad-ds-account
[6] https://docs.microsoft.com/de-de/windows-server/identity/ad-fs/operations/configuring-alternate-login-id
