Fachartikel

Azure AD Connect einrichten und betreiben (2)

Azure- und Office365-Angebote bieten sich an, um zusätzliche IT-Ressourcen aus der Cloud zu beziehen. Jedoch bleiben sensible Dienste wie das Active Directory meist am heimischen Campus. Aus diesem Grund kommt hybriden Szenarien große Bedeutung zu. In Bezug auf das Active Directory bedeutet dies, Objekte aus dem Verzeichnisdienst mit der Cloud zu synchronisieren. Azure AD Connect baut die Brücke zwischen lokaler IT und der Cloud. Im zweiten Teil des Workshops schauen wir uns das Setup des Diensts an, erklären, wie Sie Synchronisationsintervalle festlegen und diskutieren, ob Hochverfügbarkeit nötig ist.
Mit Azure AD Connect bauen Sie in hybriden Umgebungen Brücken zwischen den Verzeichnisdiensten.
Vorbereitende Maßnahmen
Neben einem aufgeräumten AD sind für die Inbetriebnahme noch Informationen wichtig, die der Installationsassistent beim Setup abfragt. Um Azure AD Connect auf dem Server einzurichten, benötigen Sie für jede der Domänen, auf die Sie Zugriff nehmen möchten, die jeweiligen Kontoinformationen. Achtung, der Setup-Wizard prüft die Berechtigungen der Konten nicht. Sollte hier etwas nicht passen, bekommen Sie die Quittung erst später, wenn es zu Problemen bei der Synchronisation kommt.

Für eine Standardimplementierung, bei der Objekte lediglich in Richtung Azure AD synchronisiert werden, sind keine speziellen Berechtigungen für diese Dienstkonten nötig. Je nachdem, in welcher Ausprägung Sie Azure AD Connect betreiben, sind weitere Rechte nötig – insbesondere, wenn Informationen zurück in das lokale AD geschrieben werden. Eine Übersicht über die notwendigen Set-up-Konstellationen mit den jeweiligen Rechten finden Sie im TechNet [5].

Für Administratoren, die MIM-Know-how besitzen, ist interessant zu wissen, dass es sich hierbei um Konten handelt, in deren Kontext die Management-Agenten für die Verbindung zu den Quell-Verzeichnisdiensten agieren. Auch hier sind die Parallelen von Azure AD Connect zur MIM-Synchronisation ersichtlich. Des Weiteren wird standardmäßig der "userPrinzipalName" für die Anmeldung an Azure AD oder Office 365 benutzt. Wenn gewünscht, lässt sich dies bei der Installation ändern. Sie sollten in dem Fall bedenken, dass es dadurch zu Einschränkungen bei bestimmen Arbeiten in Office 365 kommen kann. Ergänzende Hinweise hierzu liefert ein TechNet-Beitrag [6].


Bild 2: Über Azure AD Connect stellen Sie ein, wie Benutzer identifiziert werden sollen.

Mindestens genauso wichtig ist die Art und Weise, wie Benutzer aus ihrer Umgebung eindeutig in Office 365 identifiziert werden. Ein Attribut oder eine Kombination mehrerer Attribute ist für eine eindeutige Verbindung zwischen Objekten aus dem lokalen AD und dem Azure AD zwingend erforderlich. Dies wird spannend, wenn Sie mehrere Gesamtstrukturen haben und einzelne Benutzer dort naturgemäß mehrmals vorkommen. Der Installationsassistent bietet in der GUI weitergehende Informationen darüber, was in welcher Konstellation Sinn ergibt.
Setup von Azure AD Connect
Gehen wir davon aus, das der SQL-Server bereitsteht und Ihre Domäne – in unserem Beispiel KBCORP.DE – in Office 365 registriert ist, können wir uns direkt dem Azure-AD-Connect-Server widmen. Probleme kann eventuell noch das .NET-Framework bereiten, sollte die passende Version nicht installiert sein. Die Anforderungen hängen davon ab, welches Serverbetriebssystem auf dem AD-Connect-Server läuft (siehe Software-Anforderungen [6]).

Das Setup von Azure AD Connect auf dem Server ist ab da unspektakulär und beinhaltet keine wirklichen Fallstricke. Doch sollten Sie bei der Option für die "Angepasste Variante" abbiegen. Auch wenn Sie hier keine Änderungen an den Einstellungen treffen, so ist es interessant zu sehen, welche Möglichkeiten es gibt und mit welchen Einstellungen diese vorkonfiguriert werden.

Nach dem erfolgreichen Setup finden Sie verschiedene Programme auf dem Server. Da wäre zunächst Azure AD Connect. Es ist quasi das Setup und bietet die Möglichkeit, die aktuelle Konfiguration anzuschauen oder gegebenenfalls abzuändern. Der "Synchronization Rules Editor" eignet sich zum Feintuning, was und wie es synchronisiert wird, auch Transformationen einzelner Attribute sind hier möglich. Ein weiteres Programm ist der "Synchronization Service Manager". Ein alter Bekannter, den es bei der MIM-Synchronisation auch gibt. Hier lässt sich betrachten, wie das Setup die "Management Agents" und die "Run Profiles" eingerichtet hat.


Bild 3: Die Kommandozentrale des Synchronisationsdienstes – ein alter Bekannter von FIM/MIM.

Auch haben Sie von hier Zugriff auf die "Connector Spaces" und die "Metaverse". Um hier Änderungen vorzunehmen, sollten Sie aber genau wissen was Sie tun, denn für Modifikationen stehen eigentlich Azure AD Connect oder der Synchronization Rule Editor parat, die den Synchronization Service bei Anpassungen getriggert durch die GUI fix und fertig konfigurieren. Azure AD Connect ist nach dem Setup überhaupt nicht codelastig, auch wenn unter der Haube ein MIM tickt. Bei einem reinen MIM-Setup sieht das anders aus, hier geht ohne programmiertes Regelwerk fast gar nichts. In diesem Fall bleiben Ihnen bei Azure AD Connect Codeanpassungen initial erspart und Sie können direkt loslegen.

Seite 1: Setup von Azure AD Connect
Seite 2: Hochverfügbarkeit nicht unbedingt nötig


Seite 1 von 2 Nächste Seite >>
9.09.2019/dr/ln/Klaus Bierschenk

Nachrichten

Besserer Einblick [8.11.2022]

VMware stellt "Carbon Black XDR" vor, das Netzwerktransparenz und -erkennung auf den Dienst "Carbon Black Enterprise EDR" ausweitet. Dadurch soll sich die Wahrnehmung und Abwehr von lateralen Bedrohungen auf Endgeräten und in Netzwerken deutlich verbessern. [mehr]

Blick unter die Motorhaube [4.11.2022]

Die Cloud als Motor der Digitalisierung – auch und gerade in schwierigen Zeiten. Das war auf dem IONOS Summit am 29. und 30. September in Karlsruhe das Credo des deutschen Cloudproviders. Beispiel Energiekosten: IONOS ist laut CCO Martin Endress als Betreiber von insgesamt elf eigenen europäischen Rechenzentren bemüht, diese möglichst emissionsarm einzustellen. [mehr]

Tipps & Tools

30 Jahre SMS [6.12.2022]

Nur 160 Zeichen und alles andere als günstig: Der Short Message Service trat vor drei Jahnzehnten erstmals in Erscheinung. Auch wenn die Anzahl der versandten Kurzmitteilungen dank Messengern wie WhatsApp inzwischen weit unterhalb des Redkordjahrs 2012 liegt, bleiben SMS mit zuletzt weltweit 7,8 Milliarden versandten Mitteilungen weiterhin wichtig. [mehr]

Folgen Sie uns auf LinkedIn und gewinnen Sie attraktive Preise! [5.12.2022]

News aus der IT-Welt, Fachartikel und Infos rund um unsere Angebote: Die Redaktion des IT-Administrator hält Sie nicht nur auf unserer Webseite und im Newsletter auf dem Laufenden. Auch auf Xing, Facebook und Twitter versorgen wir Sie mit wissenswerten Informationen. Da sollen die Nutzer von LinkedIn nicht länger außen vor bleiben und deshalb hat IT-Administrator auch dort eine eigene Seite eingerichtet. Unter allen LinkedIn-Mitgliedern, die uns im Dezember neu folgen, verlosen wir attraktive Preise! [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen