Fachartikel

Azure AD Connect einrichten und betreiben (2)

Azure- und Office365-Angebote bieten sich an, um zusätzliche IT-Ressourcen aus der Cloud zu beziehen. Jedoch bleiben sensible Dienste wie das Active Directory meist am heimischen Campus. Aus diesem Grund kommt hybriden Szenarien große Bedeutung zu. In Bezug auf das Active Directory bedeutet dies, Objekte aus dem Verzeichnisdienst mit der Cloud zu synchronisieren. Azure AD Connect baut die Brücke zwischen lokaler IT und der Cloud. Im zweiten Teil des Workshops schauen wir uns das Setup des Diensts an, erklären, wie Sie Synchronisationsintervalle festlegen und diskutieren, ob Hochverfügbarkeit nötig ist.
Mit Azure AD Connect bauen Sie in hybriden Umgebungen Brücken zwischen den Verzeichnisdiensten.
Vorbereitende Maßnahmen
Neben einem aufgeräumten AD sind für die Inbetriebnahme noch Informationen wichtig, die der Installationsassistent beim Setup abfragt. Um Azure AD Connect auf dem Server einzurichten, benötigen Sie für jede der Domänen, auf die Sie Zugriff nehmen möchten, die jeweiligen Kontoinformationen. Achtung, der Setup-Wizard prüft die Berechtigungen der Konten nicht. Sollte hier etwas nicht passen, bekommen Sie die Quittung erst später, wenn es zu Problemen bei der Synchronisation kommt.

Für eine Standardimplementierung, bei der Objekte lediglich in Richtung Azure AD synchronisiert werden, sind keine speziellen Berechtigungen für diese Dienstkonten nötig. Je nachdem, in welcher Ausprägung Sie Azure AD Connect betreiben, sind weitere Rechte nötig – insbesondere, wenn Informationen zurück in das lokale AD geschrieben werden. Eine Übersicht über die notwendigen Set-up-Konstellationen mit den jeweiligen Rechten finden Sie im TechNet [5].

Für Administratoren, die MIM-Know-how besitzen, ist interessant zu wissen, dass es sich hierbei um Konten handelt, in deren Kontext die Management-Agenten für die Verbindung zu den Quell-Verzeichnisdiensten agieren. Auch hier sind die Parallelen von Azure AD Connect zur MIM-Synchronisation ersichtlich. Des Weiteren wird standardmäßig der "userPrinzipalName" für die Anmeldung an Azure AD oder Office 365 benutzt. Wenn gewünscht, lässt sich dies bei der Installation ändern. Sie sollten in dem Fall bedenken, dass es dadurch zu Einschränkungen bei bestimmen Arbeiten in Office 365 kommen kann. Ergänzende Hinweise hierzu liefert ein TechNet-Beitrag [6].


Bild 2: Über Azure AD Connect stellen Sie ein, wie Benutzer identifiziert werden sollen.

Mindestens genauso wichtig ist die Art und Weise, wie Benutzer aus ihrer Umgebung eindeutig in Office 365 identifiziert werden. Ein Attribut oder eine Kombination mehrerer Attribute ist für eine eindeutige Verbindung zwischen Objekten aus dem lokalen AD und dem Azure AD zwingend erforderlich. Dies wird spannend, wenn Sie mehrere Gesamtstrukturen haben und einzelne Benutzer dort naturgemäß mehrmals vorkommen. Der Installationsassistent bietet in der GUI weitergehende Informationen darüber, was in welcher Konstellation Sinn ergibt.
Setup von Azure AD Connect
Gehen wir davon aus, das der SQL-Server bereitsteht und Ihre Domäne – in unserem Beispiel KBCORP.DE – in Office 365 registriert ist, können wir uns direkt dem Azure-AD-Connect-Server widmen. Probleme kann eventuell noch das .NET-Framework bereiten, sollte die passende Version nicht installiert sein. Die Anforderungen hängen davon ab, welches Serverbetriebssystem auf dem AD-Connect-Server läuft (siehe Software-Anforderungen [6]).

Das Setup von Azure AD Connect auf dem Server ist ab da unspektakulär und beinhaltet keine wirklichen Fallstricke. Doch sollten Sie bei der Option für die "Angepasste Variante" abbiegen. Auch wenn Sie hier keine Änderungen an den Einstellungen treffen, so ist es interessant zu sehen, welche Möglichkeiten es gibt und mit welchen Einstellungen diese vorkonfiguriert werden.

Nach dem erfolgreichen Setup finden Sie verschiedene Programme auf dem Server. Da wäre zunächst Azure AD Connect. Es ist quasi das Setup und bietet die Möglichkeit, die aktuelle Konfiguration anzuschauen oder gegebenenfalls abzuändern. Der "Synchronization Rules Editor" eignet sich zum Feintuning, was und wie es synchronisiert wird, auch Transformationen einzelner Attribute sind hier möglich. Ein weiteres Programm ist der "Synchronization Service Manager". Ein alter Bekannter, den es bei der MIM-Synchronisation auch gibt. Hier lässt sich betrachten, wie das Setup die "Management Agents" und die "Run Profiles" eingerichtet hat.


Bild 3: Die Kommandozentrale des Synchronisationsdienstes – ein alter Bekannter von FIM/MIM.

Auch haben Sie von hier Zugriff auf die "Connector Spaces" und die "Metaverse". Um hier Änderungen vorzunehmen, sollten Sie aber genau wissen was Sie tun, denn für Modifikationen stehen eigentlich Azure AD Connect oder der Synchronization Rule Editor parat, die den Synchronization Service bei Anpassungen getriggert durch die GUI fix und fertig konfigurieren. Azure AD Connect ist nach dem Setup überhaupt nicht codelastig, auch wenn unter der Haube ein MIM tickt. Bei einem reinen MIM-Setup sieht das anders aus, hier geht ohne programmiertes Regelwerk fast gar nichts. In diesem Fall bleiben Ihnen bei Azure AD Connect Codeanpassungen initial erspart und Sie können direkt loslegen.

Seite 1: Setup von Azure AD Connect
Seite 2: Hochverfügbarkeit nicht unbedingt nötig


Seite 1 von 2 Nächste Seite >>
9.09.2019/dr/ln/Klaus Bierschenk

Nachrichten

Vier Server-Musketiere [31.10.2019]

OVH lüftet den Vorhang für seine neue Serverreihe "Infrastructure". Die Geräte sollen sich durch eine Netzwerkanbindung mit hoher Bandbreite und erweiterte und Sicherheitsfunktionen auszeichnen. Ziel ist es, den hohen Anforderungen von mittelständischen Unternehmen an Skalierbarkeit und Leistungsfähigkeit beim Aufbau gebündelter Serverarchitekturen und der Verwaltung großer Datenbanken sowie zahlreicher anderer Anwendungen gerecht zu werden. [mehr]

Maschinendaten in der Cloud [21.10.2019]

Crate.io hat die Verfügbarkeit von "CrateDB Cloud" als Managed Service auf dem Azure Marketplace angekündigt. CrateDB Cloud on Azure ist ein hochskalierbarer SQL Database-as-a-Service, der rund um die Uhr von Crate.io betrieben wird. Die Integration ermöglicht es Azure-Kunden, Echtzeit-Backends für industrielle IoT-Anwendungen zu implementieren, die von kleinen GByte-Datenströmen bis hin zu umfangreichen TByte-Anwendungen reichen. [mehr]

Tipps & Tools

Download der Woche: Simplenote [5.11.2019]

Die vorinstallierten Notizenprogramme auf dem PC und Smartphone sind oft sehr eingeschränkt. Das kostenfreie Tool "Simplenote" hilft beim einfachen Erstellen von Notizen und synchronisiert diese auf allen verknüpften Geräten automatisch. Die bisher für Android und iOS vorhandene Software ist jetzt auch als Anwendung für den Rechner und das Web verfügbar und zeigt sich dabei mit einem neuen modernen Design. [mehr]

Überflüssige Wörter herausfiltern [17.10.2019]

Für die internationale Korrespondenz unter IT-Profis muss zwar nicht immer die höchste Sprachkultur herhalten, allerdings will trotzdem jeder gerne in Sachen fremdsprachiger Texte nicht zu holprig klingen. Mit der Website von "Writewords" lassen sich meist unbemerkt anfallende Wiederholungswörter aufspüren. Diese werden beim E-Mail-Verkehr oder Abfassen eines Reports nämlich deutlich öfter genutzt, als es den meisten Verfassern lieb ist. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen