Fachartikel

Azure AD Connect einrichten und betreiben (2)

Azure- und Office365-Angebote bieten sich an, um zusätzliche IT-Ressourcen aus der Cloud zu beziehen. Jedoch bleiben sensible Dienste wie das Active Directory meist am heimischen Campus. Aus diesem Grund kommt hybriden Szenarien große Bedeutung zu. In Bezug auf das Active Directory bedeutet dies, Objekte aus dem Verzeichnisdienst mit der Cloud zu synchronisieren. Azure AD Connect baut die Brücke zwischen lokaler IT und der Cloud. Im zweiten Teil des Workshops schauen wir uns das Setup des Diensts an, erklären, wie Sie Synchronisationsintervalle festlegen und diskutieren, ob Hochverfügbarkeit nötig ist.
Mit Azure AD Connect bauen Sie in hybriden Umgebungen Brücken zwischen den Verzeichnisdiensten.
Vorbereitende Maßnahmen
Neben einem aufgeräumten AD sind für die Inbetriebnahme noch Informationen wichtig, die der Installationsassistent beim Setup abfragt. Um Azure AD Connect auf dem Server einzurichten, benötigen Sie für jede der Domänen, auf die Sie Zugriff nehmen möchten, die jeweiligen Kontoinformationen. Achtung, der Setup-Wizard prüft die Berechtigungen der Konten nicht. Sollte hier etwas nicht passen, bekommen Sie die Quittung erst später, wenn es zu Problemen bei der Synchronisation kommt.

Für eine Standardimplementierung, bei der Objekte lediglich in Richtung Azure AD synchronisiert werden, sind keine speziellen Berechtigungen für diese Dienstkonten nötig. Je nachdem, in welcher Ausprägung Sie Azure AD Connect betreiben, sind weitere Rechte nötig – insbesondere, wenn Informationen zurück in das lokale AD geschrieben werden. Eine Übersicht über die notwendigen Set-up-Konstellationen mit den jeweiligen Rechten finden Sie im TechNet [5].

Für Administratoren, die MIM-Know-how besitzen, ist interessant zu wissen, dass es sich hierbei um Konten handelt, in deren Kontext die Management-Agenten für die Verbindung zu den Quell-Verzeichnisdiensten agieren. Auch hier sind die Parallelen von Azure AD Connect zur MIM-Synchronisation ersichtlich. Des Weiteren wird standardmäßig der "userPrinzipalName" für die Anmeldung an Azure AD oder Office 365 benutzt. Wenn gewünscht, lässt sich dies bei der Installation ändern. Sie sollten in dem Fall bedenken, dass es dadurch zu Einschränkungen bei bestimmen Arbeiten in Office 365 kommen kann. Ergänzende Hinweise hierzu liefert ein TechNet-Beitrag [6].


Bild 2: Über Azure AD Connect stellen Sie ein, wie Benutzer identifiziert werden sollen.

Mindestens genauso wichtig ist die Art und Weise, wie Benutzer aus ihrer Umgebung eindeutig in Office 365 identifiziert werden. Ein Attribut oder eine Kombination mehrerer Attribute ist für eine eindeutige Verbindung zwischen Objekten aus dem lokalen AD und dem Azure AD zwingend erforderlich. Dies wird spannend, wenn Sie mehrere Gesamtstrukturen haben und einzelne Benutzer dort naturgemäß mehrmals vorkommen. Der Installationsassistent bietet in der GUI weitergehende Informationen darüber, was in welcher Konstellation Sinn ergibt.
Setup von Azure AD Connect
Gehen wir davon aus, das der SQL-Server bereitsteht und Ihre Domäne – in unserem Beispiel KBCORP.DE – in Office 365 registriert ist, können wir uns direkt dem Azure-AD-Connect-Server widmen. Probleme kann eventuell noch das .NET-Framework bereiten, sollte die passende Version nicht installiert sein. Die Anforderungen hängen davon ab, welches Serverbetriebssystem auf dem AD-Connect-Server läuft (siehe Software-Anforderungen [6]).

Das Setup von Azure AD Connect auf dem Server ist ab da unspektakulär und beinhaltet keine wirklichen Fallstricke. Doch sollten Sie bei der Option für die "Angepasste Variante" abbiegen. Auch wenn Sie hier keine Änderungen an den Einstellungen treffen, so ist es interessant zu sehen, welche Möglichkeiten es gibt und mit welchen Einstellungen diese vorkonfiguriert werden.

Nach dem erfolgreichen Setup finden Sie verschiedene Programme auf dem Server. Da wäre zunächst Azure AD Connect. Es ist quasi das Setup und bietet die Möglichkeit, die aktuelle Konfiguration anzuschauen oder gegebenenfalls abzuändern. Der "Synchronization Rules Editor" eignet sich zum Feintuning, was und wie es synchronisiert wird, auch Transformationen einzelner Attribute sind hier möglich. Ein weiteres Programm ist der "Synchronization Service Manager". Ein alter Bekannter, den es bei der MIM-Synchronisation auch gibt. Hier lässt sich betrachten, wie das Setup die "Management Agents" und die "Run Profiles" eingerichtet hat.


Bild 3: Die Kommandozentrale des Synchronisationsdienstes – ein alter Bekannter von FIM/MIM.

Auch haben Sie von hier Zugriff auf die "Connector Spaces" und die "Metaverse". Um hier Änderungen vorzunehmen, sollten Sie aber genau wissen was Sie tun, denn für Modifikationen stehen eigentlich Azure AD Connect oder der Synchronization Rule Editor parat, die den Synchronization Service bei Anpassungen getriggert durch die GUI fix und fertig konfigurieren. Azure AD Connect ist nach dem Setup überhaupt nicht codelastig, auch wenn unter der Haube ein MIM tickt. Bei einem reinen MIM-Setup sieht das anders aus, hier geht ohne programmiertes Regelwerk fast gar nichts. In diesem Fall bleiben Ihnen bei Azure AD Connect Codeanpassungen initial erspart und Sie können direkt loslegen.

Seite 1: Setup von Azure AD Connect
Seite 2: Hochverfügbarkeit nicht unbedingt nötig


Seite 1 von 2 Nächste Seite >>
9.09.2019/dr/ln/Klaus Bierschenk

Nachrichten

Loadbalancer mit erweiterten Funktionen [28.08.2019]

VMware stellt auf der VMWorld 2019 mit dem "NSX Advanced Load Balancer" neue Netzwerk- und Sicherheitsanalysefunktionen vor, die über VMware vRealize Network Insight 5.0 und NSX Intelligence bereitgestellt werden. Gleichzeitig treibt der Hersteller die Weiterentwicklung von SD-WAN by VeloCloud voran. Die beiden Dienste sollen gemeinsam für eine vollautomatisierte Bereitstellung von Rechenzentrum-Workloads sorgen. [mehr]

Einblicke in die Cloud [2.08.2019]

ExtraHop präsentiert eine Vorschauversion von "ExtraHop Reveal(x) Cloud", ein SaaS-Angebot für die Erkennung und Abwehr von Netzwerkbedrohungen in AWS-basierten Hybrid-Umgebungen. Der Dienst soll Sicherheitsteams kontinuierlich einen detaillierten Überblick über ihre Infrastruktur bieten, sodass sie Transaktionen analysieren, Bedrohungen erkennen und umgehend auf Angriffe reagieren können. [mehr]

Tipps & Tools

Sweet 15 [2.09.2019]

Im September feiert IT-Administrator sein 15-jähriges Bestehen. Wir bedanken uns bei allen Lesern für die Unterstützung und Treue mit einem großen Gewinnspiel in der September-Ausgabe, wo eine breite Palette attraktiver IT-Goodies auf ihren neuen Besitzer wartet. [mehr]

Vorschau September 2019: Sicherer Datenaustausch & Collaboration [26.08.2019]

Der Mailserver ist für Firmen das kommunikative Tor zur Welt. Hinzu kommen verschiedene Collaboration-Werkzeuge für die Zusammenarbeit der Mitarbeiter. Fallen diese aus, erlahmt das Unternehmen. Fast noch schlimmer ist der Diebstahl vertraulicher Daten. Im September-Heft befasst sich IT-Administrator mit dem sicheren Datenaustausch und der Collaboration. Darin erfahren Sie etwa, welche selbst gehosteten Alternativen zu Diensten wie Dropbox bestehen und was es bei der Auswahl von Messengern zu beachten gilt. Außerdem lesen Sie, wie Sie Exchange Online mit der PowerShell administrieren sowie E-Mail-Spoofing verhindern. [mehr]

Überall online [17.07.2019]

Buchbesprechung

Anzeigen