von Redaktion IT-A…
Lesezeit
3 Minuten
Azure AD Connect einrichten und betreiben (3)
Azure- und Office365-Angebote bieten sich an, um zusätzliche IT-Ressourcen aus der Cloud zu beziehen. Jedoch bleiben sensible Dienste wie das Active Directory meist am heimischen Campus. Aus diesem Grund kommt hybriden Szenarien große Bedeutung zu. In Bezug auf das Active Directory bedeutet dies, Objekte aus dem Verzeichnisdienst mit der Cloud zu synchronisieren. Azure AD Connect baut die Brücke zwischen lokaler IT und der Cloud. Im dritten Teil geben wir Tipps, wie Sie die Synchronisation im Auge behalten und welche Grundregeln Sie bei der Konfiguration stets beachten sollten.
Synchronisation im Auge behalten
Um zu sehen, ob der Server und die Synchronisation noch sauber ticken, haben Sie verschiedene Möglichkeiten. Da ist zum einen der aus MIM bekannte "Synchronization Service Manager". Im Bereich "Operations" offenbart er Details zu den letzten Aktivitäten der RunProfiles – sprich, der einzelnen Arbeitsschritte im Synchronisationsablauf. Ein weiteres Indiz für eine intakte Umgebung ist das Eventlog. AD Connect schreibt alle Informationen in das Anwendungsprotokoll unter verschiedenen eigenen Quellen. Dies können Sie beispielsweise nutzen, um die dortigen Informationen mit einem Managementtool wie SCOM abzugreifen.
Grundregeln bei der Konfiguration beachten
Mit Azure AD Connect landet auf dem Synchronisationsserver ein eigenes PowerShell-Modul (ADSync), das so ziemlich alles beinhaltet, was des Admins Herz an der Kommandozeile begehrt. In der PowerShell ISE lassen sich die Cmdlets gut untersuchen und eine Hilfe ist auch gleich inbegriffen. Beim Ausklappen der Listbox mit den Modulen fällt auf, dass das eben vorgestellte "Azure AD Connect Health" ein eigenes PowerShellModul mitbringt, um beispielsweise die Verbindung zum Azure-Portal zu testen.
Des Weiteren gibt es einige Richtlinien, die Sie als Administrator beherzigen sollten: Ändern Sie keine bestehenden Regeln im "Rule Editor". Die Faustregel lautet, eine bestehende Regel zu kopieren, die Originalregel zu deaktivieren und danach Änderungen an der kopierten Regel vorzunehmen.
Achten Sie übrigens bei den Regeln auf die "Precedence". Diese "Priorität" ist bei einem Konflikt wichtig, wenn mehrere Datenquellen auf ein Zielattribut schreiben, was nicht selten ist. Je niedriger der numerische Wert, desto höher die Priorität, also der Vorrang.
Die Synchronisationstechnologie sieht zwar auf den ersten Blick recht trivial aus. Beim zweiten Blick offenbart sich aber ein recht komplexes Tool mit einer Vielzahl an Einstellmöglichkeiten, die mitunter Massenschreibvorgänge in ihr AD vornehmen. Als Faustregel muss gelten, dass Sie keine Änderungen an Elementen vornehmen sollten, deren Grundverständnis nicht vorhanden ist. Wegen der Komplexität und der vielen Prozesse, die beim Synchronisationsdienst zusammenwirken, zeigen sich Auswirkungen meist später und an einer ganz anderen Stelle.
Freilich ist Azure AD Connect kein geschlossenes System und auch andere Verzeichnisse wie beispielsweise ein HR-System basierend auf einer SQL-Datenbasis ließen sich anbinden, dies erfordert aber eine gute Expertise. Um diese zu erlangen bietet sich im ersten Schritt die Einstiegsseite zu Azure AD Connect [8] an.
Know-how in der Testumgebung sammeln
Mit AD Connect erste Schritte gleich in der Produktionsumgebung zu sammeln, dürfte nicht die beste Idee sein. Bauen sich sich eine Spielwiese auf, um der Synchronisationstechnologie auf den Zahn zu fühlen. Hierzu bedarf es nicht allzu viel: Neben einem Office-365-Testabonnement benötigen Sie eine öffentliche Test-Domain, die Sie im Office-365-Portal registrieren.
Der Einfachheit halber sollte der Name der Test-Domain den Namen ihres AD verwenden. Dieses AD können Sie mit einem virtuellen DC aufbauen. Dann installieren Sie auf einer zweiten Maschine Azure AD Connect und können nach Belieben testen, ohne Sorge zu haben, in Office 365 oder im lokalen AD etwas zu zerschießen.
Auch Besonderheiten wie ein angepasstes Active-Directory-Schema lassen sich in einer Testumgebung isoliert von der Produktion untersuchen und Regeln entwickeln. Sollte der Testzeitraum von Office 365 vorüber sein, entfernen Sie die Test-Domain wieder, die Sie zuvor ihrem Testabonnement hinzugefügt hatten. Sollten Sie beabsichtigen, zu Testzwecken erneut ein Testabonnement abzuschließen, können Sie die gleiche Domain wieder verwenden.
Fazit
Administratoren, die sich bereits mit dem MIM Synchronization Service auskennen, fällt die Nutzung von Azure AD Connect deutlich leicher, denn unter der Haube gleichen sich beide Produkte. Ohne diese Vorkenntnisse geht es zwar auch, aber sobald Sie von der Standardkonfiguration abweichen, wird es schwierig und Sie sollten wissen, wie die Zusammenhänge aussehen.
Verwenden Sie noch die Vorgängerversionen wie Dirsync oder Azure AD Sync, sollten Sie zeitnah über ein Update nachdenken. Beide Produkte hat Microsoft bereits abgekündigt und der Support endete im April 2017. In diesem Beitrag haben wir zudem die Nähe zu MIM Synchronization Service und auch die Vorgängerprodukte zu AD Connect erwähnt. Eine gute Übersicht darüber, was mit welchem Produkt möglich ist beziehungsweise nicht geht, erhalten Sie im TechNet unter [9].
dr/ln/Klaus Bierschenk
Um zu sehen, ob der Server und die Synchronisation noch sauber ticken, haben Sie verschiedene Möglichkeiten. Da ist zum einen der aus MIM bekannte "Synchronization Service Manager". Im Bereich "Operations" offenbart er Details zu den letzten Aktivitäten der RunProfiles – sprich, der einzelnen Arbeitsschritte im Synchronisationsablauf. Ein weiteres Indiz für eine intakte Umgebung ist das Eventlog. AD Connect schreibt alle Informationen in das Anwendungsprotokoll unter verschiedenen eigenen Quellen. Dies können Sie beispielsweise nutzen, um die dortigen Informationen mit einem Managementtool wie SCOM abzugreifen.
Mit Ihrem Office-365-Abonnement erhalten Sie zusätzlich kostenlos das Nutzungsrecht für Azure AD Connect Health. Dieses eigentlich aus drei Teilen bestehende Produkt liefert Statusinformationen über die AD-Verbunddienste, die AD-Domain-Services und eben über Azure AD Connect. Der Agent, der den Synchronisationsserver mit dem Azure-AD-Connect-Health-Dashboard verbindet wird bei der Installation mit installiert.
Bild 6: Sollte etwas im Argen liegen, gibt das Ereignisprotokoll Aufschluss darüber.
Beim Schreiben dieses Beitrags hat sich gezeigt, dass dies nicht immer reibungslos funktioniert und sich der Connect-Server erst im Dashboard sehen ließ, als der Server manuell mit dem Cmdlet RegisterAzureADConnectHealthSyncAgent -AttributeFiltering $false -StagingMode $false registriert wurde. Zu guter Letzt können Sie sicher sein, dass, wenn die Synchronisation nicht läuft, Sie eine Benachrichtigungsmail erhalten, eine sogenannte "Unhealthy Notification Mail". Diese erreicht Sie in jedem Fall, auch wenn Sie nicht AD Premium einsetzen.
Grundregeln bei der Konfiguration beachten
Mit Azure AD Connect landet auf dem Synchronisationsserver ein eigenes PowerShell-Modul (ADSync), das so ziemlich alles beinhaltet, was des Admins Herz an der Kommandozeile begehrt. In der PowerShell ISE lassen sich die Cmdlets gut untersuchen und eine Hilfe ist auch gleich inbegriffen. Beim Ausklappen der Listbox mit den Modulen fällt auf, dass das eben vorgestellte "Azure AD Connect Health" ein eigenes PowerShellModul mitbringt, um beispielsweise die Verbindung zum Azure-Portal zu testen.
Des Weiteren gibt es einige Richtlinien, die Sie als Administrator beherzigen sollten: Ändern Sie keine bestehenden Regeln im "Rule Editor". Die Faustregel lautet, eine bestehende Regel zu kopieren, die Originalregel zu deaktivieren und danach Änderungen an der kopierten Regel vorzunehmen.
Achten Sie übrigens bei den Regeln auf die "Precedence". Diese "Priorität" ist bei einem Konflikt wichtig, wenn mehrere Datenquellen auf ein Zielattribut schreiben, was nicht selten ist. Je niedriger der numerische Wert, desto höher die Priorität, also der Vorrang.
Die Synchronisationstechnologie sieht zwar auf den ersten Blick recht trivial aus. Beim zweiten Blick offenbart sich aber ein recht komplexes Tool mit einer Vielzahl an Einstellmöglichkeiten, die mitunter Massenschreibvorgänge in ihr AD vornehmen. Als Faustregel muss gelten, dass Sie keine Änderungen an Elementen vornehmen sollten, deren Grundverständnis nicht vorhanden ist. Wegen der Komplexität und der vielen Prozesse, die beim Synchronisationsdienst zusammenwirken, zeigen sich Auswirkungen meist später und an einer ganz anderen Stelle.
Freilich ist Azure AD Connect kein geschlossenes System und auch andere Verzeichnisse wie beispielsweise ein HR-System basierend auf einer SQL-Datenbasis ließen sich anbinden, dies erfordert aber eine gute Expertise. Um diese zu erlangen bietet sich im ersten Schritt die Einstiegsseite zu Azure AD Connect [8] an.
Know-how in der Testumgebung sammeln
Mit AD Connect erste Schritte gleich in der Produktionsumgebung zu sammeln, dürfte nicht die beste Idee sein. Bauen sich sich eine Spielwiese auf, um der Synchronisationstechnologie auf den Zahn zu fühlen. Hierzu bedarf es nicht allzu viel: Neben einem Office-365-Testabonnement benötigen Sie eine öffentliche Test-Domain, die Sie im Office-365-Portal registrieren.
Der Einfachheit halber sollte der Name der Test-Domain den Namen ihres AD verwenden. Dieses AD können Sie mit einem virtuellen DC aufbauen. Dann installieren Sie auf einer zweiten Maschine Azure AD Connect und können nach Belieben testen, ohne Sorge zu haben, in Office 365 oder im lokalen AD etwas zu zerschießen.
Auch Besonderheiten wie ein angepasstes Active-Directory-Schema lassen sich in einer Testumgebung isoliert von der Produktion untersuchen und Regeln entwickeln. Sollte der Testzeitraum von Office 365 vorüber sein, entfernen Sie die Test-Domain wieder, die Sie zuvor ihrem Testabonnement hinzugefügt hatten. Sollten Sie beabsichtigen, zu Testzwecken erneut ein Testabonnement abzuschließen, können Sie die gleiche Domain wieder verwenden.
Fazit
Administratoren, die sich bereits mit dem MIM Synchronization Service auskennen, fällt die Nutzung von Azure AD Connect deutlich leicher, denn unter der Haube gleichen sich beide Produkte. Ohne diese Vorkenntnisse geht es zwar auch, aber sobald Sie von der Standardkonfiguration abweichen, wird es schwierig und Sie sollten wissen, wie die Zusammenhänge aussehen.
Verwenden Sie noch die Vorgängerversionen wie Dirsync oder Azure AD Sync, sollten Sie zeitnah über ein Update nachdenken. Beide Produkte hat Microsoft bereits abgekündigt und der Support endete im April 2017. In diesem Beitrag haben wir zudem die Nähe zu MIM Synchronization Service und auch die Vorgängerprodukte zu AD Connect erwähnt. Eine gute Übersicht darüber, was mit welchem Produkt möglich ist beziehungsweise nicht geht, erhalten Sie im TechNet unter [9].
Im ersten Teil gingen wir auf die Grundlagen von Azure AD Connect ein und erklärten, welche Vorbereitungen Sie vor der ersten Synchronisation mit dem lokalen Directory treffen sollten. Im zweiten Teil haben wir uns das Setup des Diensts angeschaut, erklärten, wie Sie Synchronisationsintervalle festlegen und haben diskutiert, ob Hochverfügbarkeit nötig ist.
dr/ln/Klaus Bierschenk
