Fachartikel

Azure AD Connect einrichten und betreiben (3)

Azure- und Office365-Angebote bieten sich an, um zusätzliche IT-Ressourcen aus der Cloud zu beziehen. Jedoch bleiben sensible Dienste wie das Active Directory meist am heimischen Campus. Aus diesem Grund kommt hybriden Szenarien große Bedeutung zu. In Bezug auf das Active Directory bedeutet dies, Objekte aus dem Verzeichnisdienst mit der Cloud zu synchronisieren. Azure AD Connect baut die Brücke zwischen lokaler IT und der Cloud. Im dritten Teil geben wir Tipps, wie Sie die Synchronisation im Auge behalten und welche Grundregeln Sie bei der Konfiguration stets beachten sollten.
Mit Azure AD Connect bauen Sie in hybriden Umgebungen Brücken zwischen den Verzeichnisdiensten.
Synchronisation im Auge behalten
Um zu sehen, ob der Server und die Synchronisation noch sauber ticken, haben Sie verschiedene Möglichkeiten. Da ist zum einen der aus MIM bekannte "Synchronization Service Manager". Im Bereich "Operations" offenbart er Details zu den letzten Aktivitäten der RunProfiles – sprich, der einzelnen Arbeitsschritte im Synchronisationsablauf. Ein weiteres Indiz für eine intakte Umgebung ist das Eventlog. AD Connect schreibt alle Informationen in das Anwendungsprotokoll unter verschiedenen eigenen Quellen. Dies können Sie beispielsweise nutzen, um die dortigen Informationen mit einem Managementtool wie SCOM abzugreifen.

Mit Ihrem Office-365-Abonnement erhalten Sie zusätzlich kostenlos das Nutzungsrecht für Azure AD Connect Health. Dieses eigentlich aus drei Teilen bestehende Produkt liefert Statusinformationen über die AD-Verbunddienste, die AD-Domain-Services und eben über Azure AD Connect. Der Agent, der den Synchronisationsserver mit dem Azure-AD-Connect-Health-Dashboard verbindet wird bei der Installation mit installiert.


Bild 6: Sollte etwas im Argen liegen, gibt das Ereignisprotokoll Aufschluss darüber.

Beim Schreiben dieses Beitrags hat sich gezeigt, dass dies nicht immer reibungslos funktioniert und sich der Connect-Server erst im Dashboard sehen ließ, als der Server manuell mit dem Cmdlet RegisterAzureADConnectHealthSyncAgent -AttributeFiltering $false -StagingMode $false registriert wurde. Zu guter Letzt können Sie sicher sein, dass, wenn die Synchronisation nicht läuft, Sie eine Benachrichtigungsmail erhalten, eine sogenannte "Unhealthy Notification Mail". Diese erreicht Sie in jedem Fall, auch wenn Sie nicht AD Premium einsetzen.

Grundregeln bei der Konfiguration beachten
Mit Azure AD Connect landet auf dem Synchronisationsserver ein eigenes PowerShell-Modul (ADSync), das so ziemlich alles beinhaltet, was des Admins Herz an der Kommandozeile begehrt. In der PowerShell ISE lassen sich die Cmdlets gut untersuchen und eine Hilfe ist auch gleich inbegriffen. Beim Ausklappen der Listbox mit den Modulen fällt auf, dass das eben vorgestellte "Azure AD Connect Health" ein eigenes PowerShellModul mitbringt, um beispielsweise die Verbindung zum Azure-Portal zu testen.

Des Weiteren gibt es einige Richtlinien, die Sie als Administrator beherzigen sollten: Ändern Sie keine bestehenden Regeln im "Rule Editor". Die Faustregel lautet, eine bestehende Regel zu kopieren, die Originalregel zu deaktivieren und danach Änderungen an der kopierten Regel vorzunehmen.

Achten Sie übrigens bei den Regeln auf die "Precedence". Diese "Priorität" ist bei einem Konflikt wichtig, wenn mehrere Datenquellen auf ein Zielattribut schreiben, was nicht selten ist. Je niedriger der numerische Wert, desto höher die Priorität, also der Vorrang.

Die Synchronisationstechnologie sieht zwar auf den ersten Blick recht trivial aus. Beim zweiten Blick offenbart sich aber ein recht komplexes Tool mit einer Vielzahl an Einstellmöglichkeiten, die mitunter Massenschreibvorgänge in ihr AD vornehmen. Als Faustregel muss gelten, dass Sie keine Änderungen an Elementen vornehmen sollten, deren Grundverständnis nicht vorhanden ist. Wegen der Komplexität und der vielen Prozesse, die beim Synchronisationsdienst zusammenwirken, zeigen sich Auswirkungen meist später und an einer ganz anderen Stelle.

Freilich ist Azure AD Connect kein geschlossenes System und auch andere Verzeichnisse wie beispielsweise ein HR-System basierend auf einer SQL-Datenbasis ließen sich anbinden, dies erfordert aber eine gute Expertise. Um diese zu erlangen bietet sich im ersten Schritt die Einstiegsseite zu Azure AD Connect [8] an.
Know-how in der Testumgebung sammeln
Mit AD Connect erste Schritte gleich in der Produktionsumgebung zu sammeln, dürfte nicht die beste Idee sein. Bauen sich sich eine Spielwiese auf, um der Synchronisationstechnologie auf den Zahn zu fühlen. Hierzu bedarf es nicht allzu viel: Neben einem Office-365-Testabonnement benötigen Sie eine öffentliche Test-Domain, die Sie im Office-365-Portal registrieren.

Der Einfachheit halber sollte der Name der Test-Domain den Namen ihres AD verwenden. Dieses AD können Sie mit einem virtuellen DC aufbauen. Dann installieren Sie auf einer zweiten Maschine Azure AD Connect und können nach Belieben testen, ohne Sorge zu haben, in Office 365 oder im lokalen AD etwas zu zerschießen.

Auch Besonderheiten wie ein angepasstes Active-Directory-Schema lassen sich in einer Testumgebung isoliert von der Produktion untersuchen und Regeln entwickeln. Sollte der Testzeitraum von Office 365 vorüber sein, entfernen Sie die Test-Domain wieder, die Sie zuvor ihrem Testabonnement hinzugefügt hatten. Sollten Sie beabsichtigen, zu Testzwecken erneut ein Testabonnement abzuschließen, können Sie die gleiche Domain wieder verwenden.

Fazit
Administratoren, die sich bereits mit dem MIM Synchronization Service auskennen, fällt die Nutzung von Azure AD Connect deutlich leicher, denn unter der Haube gleichen sich beide Produkte. Ohne diese Vorkenntnisse geht es zwar auch, aber sobald Sie von der Standardkonfiguration abweichen, wird es schwierig und Sie sollten wissen, wie die Zusammenhänge aussehen.

Verwenden Sie noch die Vorgängerversionen wie Dirsync oder Azure AD Sync, sollten Sie zeitnah über ein Update nachdenken. Beide Produkte hat Microsoft bereits abgekündigt und der Support endete im April 2017. In diesem Beitrag haben wir zudem die Nähe zu MIM Synchronization Service und auch die Vorgängerprodukte zu AD Connect erwähnt. Eine gute Übersicht darüber, was mit welchem Produkt möglich ist beziehungsweise nicht geht, erhalten Sie im TechNet unter [9].

Im ersten Teil gingen wir auf die Grundlagen von Azure AD Connect ein und erklärten, welche Vorbereitungen Sie vor der ersten Synchronisation mit dem lokalen Directory treffen sollten. Im zweiten Teil haben wir uns das Setup des Diensts angeschaut, erklärten, wie Sie Synchronisationsintervalle festlegen und haben diskutiert, ob Hochverfügbarkeit nötig ist.
16.09.2019/dr/ln/Klaus Bierschenk

Nachrichten

Prozessoptimierung [5.02.2020]

Die Prozessmanagement-Software "Consol CM" des gleichnamigen Herstellers ist ab sofort auch in der Cloud verfügbar und steht somit als Software-as-a-Service (SaaS) zur Verfügung. Das neue Angebot umfasst die vollständig verwaltete Bereitstellung des Systems in der Cloud sowie ein subskriptionsbasiertes Pay-per-Use- Preismodell. [mehr]

Komfortableres Cloudmanagement [13.01.2020]

Zyxel stellt die neu gestaltete, achte Version der Nebula Cloud Networking Solution vor. Neben einer überarbeiteten Benutzeroberfläche, die eine Reihe ästhetischer und benutzerfreundlicher Optimierungen verspricht, verfügt Nebula nun über intelligente Management-Tools und eine größere Gerätekompatibilität. [mehr]

Tipps & Tools

Der aktuelle Stand der E-Mail-Verschlüsselung [20.02.2020]

Vertrauliche Informationen müssen geschützt werden, damit sich die Inhalte verschickter Nachrichten nicht im Klartext auslesen lassen. Der Fachartikel stellt den aktuellen Stand der PGP-Verschlüsselung und der damit verbundenen Bestandteile vor – einschließlich des kryptografischen Protokolls, der Schlüsselerzeugung und -übertragung, der Verschlüsselungsverfahren und der Integritätsprüfung. [mehr]

2020: Neue Trainings [6.01.2020]

Auch im neuen Jahr möchten wir Sie mit unseren Trainings wieder mit praxisgerechtem IT-Know-how versorgen. Allein im Februar finden vier Veranstaltungen statt, unter anderem ein Intensiv-Seminar zum Thema "Cyberabwehr" und das Training "Windows 10 richtig aktualisieren". Im Frühjahr schauen wir uns dann an, was KMUs beim Aufbau einer PKI unter Windows Server zu beachten haben. Und im Mai erfahren Sie das Wichtigste zum Thema "Linux- und Active-Directory-Integration". Buchen Sie wie immer frühzeitig – für Abonnenten gilt ein Sondertarif. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen